记一次内网实战之不会免杀(下)

  • A+
所属分类:安全文章

0x01 前言
前几天忙的一批,也是没法再写文章,工作中黑盒测试也遇到很有意思的渗透故事,但鉴于保密问题也没法向大家公开。上篇说到进入内网遭到杀软残忍杀害,这篇我将带头冲锋,本人免杀也只是略知一二只是走着别人走过的路,废话不多说开搞。

0x02 正文
内网第一波肯定是信息收集但是我已经拿到了很多信息,可以参考《一次实战内网漫游》文章下方的msf模板进行收集信息。

image.png

Msf监听接收到shell,然后开启内网转发进入内网。

image.png

run autoroute –s 网段

image.png

Use auxiliary/scanner/smb/smb_ms17_010
Set rhosts 网段ip
Set threads 线程
run

image.png

image.png

这很泰国ms17-010基本都没打补丁。

image.png

上篇文章说到199ip很可能是个域控,存在大量用户(199不出网,不通外网)。

因为杀软问题直接利用ms17-010反弹shell是无法成功的,这里我们使用ms17-010命令执行的exp。

Use auxiliary/admin/smb/ms17_010_command
Set command 执行的命令
Set rhosts 目标
Run

image.png

Ok执行成功,然后添加用户和管理组(不再进行截图)。

image.png

image.png

然后regeorg配合proxifier进入内网(regeorg通过web脚本文件将内网流量转发出来,具体可百度学习)。

image.png

然后远程到199ip的桌面,下面让199ip主机反弹shell到msf

image.png

我们已经拿到6的权限,可以使用微软自带的netsh转发进行中转shell。

我们这里设置的是将访问ip 10.1.1.6 8081端口的流量全部转发到外网vps 4478端口

image.png

然后我们在我们的VPS上监听4478端口。

image.png

199这个IP直接反弹shell到6的8081端口。(6会通过netsh设置转发到公网VPS上)。

image.png

199这个主机也没什么东西(假域控)读波密码溜。(读密码需要system权限我们使用ms17-010进行提权)

image.png

image.png

通过ms17提权成功,读密码。

image.png

image.png

Load mimikatz 加载mimikatz

Kerberos 读取明文

我们拿到了199的明文密码。(下面我们利用此密码进行撞C段主机)。

image.png

image.png

Use auxiliary/scanner/smb/smb_login
Set rhosts IP
Set smbuser 用户名
Set smbpass 密码
Set threads 线程
Run

撞出了大量主机(部分截图)。

image.png

此时行总发来了电报说他腰疼,七夕节腰疼有点意思。
通过行总发来的文档,得知内网存在5个C段,每个段都存在域控??

image.png

前边已经得知10ip主机存在ms17(通外网,直接添加管理员用户)。

image.png

然后在进行IPC进行连接。

image.png

然后把马copy到目标C盘。

image.png

使用ms17进行执行木马反弹shell。

image.png

读取密码进行远程桌面连接。

image.png

Run getgui –e 开启远程桌面。

image.png

域内没有一台主机卧槽?域不要钱一样的搭建。(我们把目标转向1 IP主机 貌似还挺多域内主机 1的域为ESOURCE)。

image.png

1 IP主机没有可利用系统漏洞,目标转向域内用户,碰碰运气看能不能读到域管理密码。(先攻击存在ms17的域内主机)

image.png

image.png

image.png

基本套路ms17添加用户IPC上传文件ms17执行木马。(不要问我为啥不直接弹shell,因为杀软拦截,为啥拦截?我不知道!)

image.png

image.png

读了两台域内主机的密码,都没有读到域用户密码。(连个域普通用户都没有,还想搞个黄金票据)。

image.png

image.png

最后目标锁定在79 IP上 他的本地管理员密码和199 IP主机本地管理员密码相同。

image.png

最后成功读到一枚域管理密码,登陆1 IP域控。

image.png

这特码是域环境?这特码是工作组吧。头疼死了,其他段的域控制器不想搞了,遗憾的是没用到黄金票据等一些拿域控的操作。

0X03 总结
本文操作手法都为常规手法,主要在于免杀 ,没有免杀则没有灵魂。本人对免杀略知一二,下面放上我们团队微信群供大家交流分享,本人也会把常用的免杀工具分享给大家!最后欢迎各位大佬来一起交流!等你!

相关推荐: 企业快速实践部署IAST/RASP的一种思路

             引言 近两年,百度的OpenRASP在安全业内大火,各大厂的安全团队都在纷纷跟进研究,捣鼓自己的IAST/RASP产品。作为一支有追求的安全团队,自然要推动这类新兴…