接下来会把目标转移到PROD(219)和TIME(176)
这里会引入一种比较少见的内网攻击方法NBT-NS欺骗攻击。https://zhuanlan.zhihu.com/p/467240308具体理论可以看看这位大佬的介绍。简单的来讲就是说域内有台主机想找一个xxx,首先会询问DNSServer说你知不知道xxx,如果DNSServer说我也不知道以后就会全体广播。类似于全体目光看向我,我宣布个事谁知道xxx。这时候作为攻击者我们就假装说我就是xxx,然后顺便说请把密码交出来作为验证身份的需要。这时候就成功骗到这台机子的账号密码了。
这里启用kali自带的responder,这里可以截获到来自219(PROD)的petersj的密码hash
命令:responder -I tun0 -v
然后保存成txt文本,放到hashcat里面跑,但是会遇到一个问题就是有可能kali自带的rockyou.txt可能还不够强大。这时候需要借助下一些额外的规则文件去添加额外的字典组合。这里会用到GitHub上的规则文件,然后重新跑一跑就可以破解成功了。最后密码为Throwback317
https://github.com/NotSoSecure/password_cracking_rules/blob/master/OneRuleToRuleThemAll.rule
命令:hashcat-m 5600 xxx.txt /usr/share/wordlists/rockyou.txt -rOneRuleToRuleThemAll.rule –debug-mode=1 –debug-file=matched.rule
这里可以用ssh登录以后看到目前PetersJ只是一个普通用户。下一步就是想办法提权了
。
这里先接收powerup.ps1枚举脚本然后用Invoke-AllChecks运行
利用ssh重新登录新的账号密码发现是admin组的也算是成功控制了这台机子。
下一个目标就是.176了。在得到一堆账号密码的时候其中登录墨菲的账号可以看到有个重置密码链接直接打开是打不开的。
如果从本地是无法打开,但是我们从刚才控制的219开启远程登录确实可以直接打开的。证明了该域名就是176(TIME)如果想访问得挂代理进行访问。
这里先让msf刚才上线的会话中使用post/multi/manage/autoroute模块,设置好刚才获得的session,然后在设置目标网段如setsubnet 10.200.29.0然后exploit即可
然后再使用另外一个模块auxiliary/server/socks_proxy只需要设置version即可。然后检查下自己的proxychain设置文件端口是否一样。
这里再用Foxyproxy插件填写对应的socks4信息
最后成功访问。同时通过URL大概推测出用户名murphy密码就是PASSWORD
登录进去以后点UploadTime Card里面有个文件上传功能。
也没有那么简单任意文件上传只能接收xlsm的文件。那我们可以考虑在excel表里面进行宏注入。
首先在EXCEL文件中打开选项选择信任中心点开宏设置勾选启用VBA宏,然后打开文件点宏随机创建一个宏
进入以后用throwback提供的脚本只需要更改下URL
这个URL是由MSF里面的windows/misc/hta_server所提供的把srvhost和lhost都填写自己的IP设置好端口以后就会生成一个URL复制回去。最后保存成xlsm格式文件上传等待几分钟成功接收到shell。由于shell直接是Administrator所以不用提权了。
这里目前控制了几台机子了,是时候可以进行域控定位和扫描下内网资源了这里我用的adPEAS,可以直接在GitHub上下载https://github.com/61106960/adPEAS运行方法很简单上传以后先以管理员身份把防火墙关了免得AMSI把脚本拦住不给执行。随后进入powershell模式导入以后输入命令Invoke-adPEAS即可。比如说收获到一个SQLService的ticket
放到hashcat解密,密码为mysql337570。
同时adPEAS找到backup具有dsync权限,后面会讲到。
同时和一个域森林Corporate.local是好朋友可以访问。
原文始发于微信公众号(神隐攻防实验室):网络安全红队内网基础靶场Throwback02(NBT-NS欺骗攻击,枚举系统信息,EXCEL宏注入,内网信息收集)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1050065.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论