网络安全中级红队内网靶场01(WEB信息挖掘,简单的提权,基于Linux主机进行内网信息收集,横向移动)

这次的靶场是由B站大佬封神榜主演绍伊古所设计的https://space.bilibili.com/26465397。该靶场的难度还是比较大的，超过CRTO和eccptx的考试靶场。同时需要学习一些其它的内网知识，比如说Linux域的信息收集，基于资源的约束委派和利用不同的方法绕过AMSI的检测。下面是该靶场的阔谱图，较为简略。从Linux的Web01开始一直打到域控。本篇文章会先讲如何攻击前两台的Linux域内机器开始。

这里先用nmap对Linux Web01进行端口扫描为了不让大伙看无聊的参数我换了种格式。
命令:nmap -sS -sV -v -p- 192.168.0.51

这里会首先对5601 kibana进行一个挖掘,打开页面以后可以看到是一个kibana

关于kibana是否存在利用可以用必应搜索关键词比如kibana exploit github可以找到一些可能的脚本利用

其中找到一个比较明确的攻击方法 https://github.com/mpgn/CVE-2019-7609 ，这位大佬提示具体步骤先打开timelion,然后根据自己的IP地址更改一下payload最后点击运行即可。

这里根据其方法点击Timelion然后塞入更改后的payload,然后点击右边的运行按钮可以看到成功接收到shell但无法进行下一步的提权。可能的方法比如是内核提权但动静太大害怕把服务器弄崩了，suid也没有什么特别的命令可以提权，5601更像是一个兔子洞。

从之前的nmap扫描可以看到目标开了一个http网站那么首先可以用Dir buster先去前面探探路,这里可以看到有一个wordpress的目录。

打开页面可以看到mason用户发表了xxxx,同时注意到有一条评论。

这里点击去以后可以看到提示mason作为mailadmin但是确喜欢用Password作为密码。这是一个比较关键的信息我们可以用其凭证登录到不同的服务，或者是看看能不能登录到WordPress后台里面去。

前面再用nmap扫描的时候除了http还有ssh, smtp, smb 和pop3还有一个imap忘记放上去了。

这里可以用凭证对每一个端口进行碰瓷, 这里利用nc对POP3进行访问，可以看到mailadmin的用户密码可以成功登录。用list命令可以发现有8条信息。

如果想打开某条信息使用retr n即可。这里打开第一条信息可以看到是发给mason的信息，里面告诉了他的新SSH密码为CIAAgent1984。既然得到了密码可以直接登录看看。

再SSH登录成功以后可以看到当前用户的find特权比较高。

如果想知道如何利用某些特权命令进行提权可以看一下GTFOBIN的建议

这里完全复制粘贴以后可以看到目前是root的权限了。

如何在域内的一台Linux上做信息收集可能对于大家比较陌生。毕竟平时的内网靶场基本上都是Windows组合在一起。Windows可以直接上传一个bloodhound或者是adpeas或者是powerview慢慢做域内枚举信息。一开始我也是很懵的,后来查了下也是可以的。这里先科普一些小知识点。
在内网当中, Linux机器也会像Windows机器一样会存放一张票证，这张票证可以像其它的Kerberos票据使用或者攻击。该票据叫krb5.keytab存放在/etc目录下,类似于shadow文件一样只能给root用户查看。这张票据会记载着Web01这台机器的账号密码,但是肯定是被加密过的。我们可以借助另外一个工具keytabExtract进行信息提取工具链接:  https://github.com/sosdave/KeyTabExtract 。得到此票据以后我们可以用bloodhound的python版借助此票据对内网进行访问随后进行一波信息收集最后慢慢分析。
由于目前我们已经是root了可以开一个python共享模式在/etc目录下。然后用群主提供的.26kali攻击机上接收先解密在去拿着这张票据进入内网去访问。在接收完以后利用ketabextract.py进行解密先可以看到目前得到其NTLM的hash同时得知当前域名为BLACKOPS.LOCAL 刚才攻下来的机器是WEB01。

随后使用以下命令利用bloodhound拿着刚才的票据去往blackops.local刷票进入内网进行信息收集可以看到成功执行。
命令: bloodhound-python -c ALL -u '[email protected]' --hashes 00000000000000000000000000000000:5db7a1891649cef400f8cd6923bb4a69 -d blackops.local  -ns 192.168.0.56 --dns-tcp

跑完以后会生成以下四个文件，可以利用scp命令拷贝到当前kali再转移到bloodhound里面慢慢分析。

在利用bloodhound导入完信息以后可以分析一些信息，比如域内成员刚才获得的alex账号全称是alex.mason

其它域内成员如下所示

另外一个就是domain computer查看域内的主机 有WEB01 FILE01 CLIENT01 SRV01 SRV02加上最后的域控就如第一张阔谱图所示。

下一步要做的目标其实就是横向移动，在用nmap对六台机子扫描当中发现.52是另外一台Linux机子

我们可以尝试用刚才获得的凭证alex.mason域用户进行一个登录。使用以下命令在web01(192.168.0.51,因为直接连接会失败)成功登录到.52查看主机名为file01也对应的上开头自己画的阔谱图。
命令：ssh -D 22 [email protected]@192.168.0.52

在利用find命令查找特殊权限的时候可以看到有比较多的提权向量可以利用。比如可以用find之类的命令进行提权。

这里我依然借助find命令进行提权先。

再去到/home/helen/目录下发现一个备忘录里面提示不要忘记创建一个脚本检查FTP文件夹的自动登录情况。

一开始我也是挺懵逼的不太理解什么意思，后面看了回bloodhound结果。里面的CLIENT可能是指CLIENT01这台机器创建一个ps脚本去检测登录情况。由于刚才的find命令查找特权那里我们可以看到tcpdump这个类似wireshark分析流量功能的应用是可以检测端口情况的。我们可以运行下监听21端口发生了什么，可以使用以下命令指定下网卡和端口把输出丢到ftp.out那里等待一分钟左右。
命令: /usr/bin/tcpdump -i ens33 -n port 21 -w /tmp/ftp.out

一分钟以后可以去到/tmp目录下用strings命令查看流量包。里面记录着一个用户名和其密码。Helen的全称是叫helen.park这个可以往上拉回看看bloodhound枚举出来的域内用户名。

这里在nmap的扫描结果可以看到53是叫CLIENT01并且开启了3389端口那么我们可以用刚才获得的凭证进行远程登录。

利用xfreerdp可以远程登录成功,下篇会讲讲该靶场最难的点。
命令: xfreerdp /v:192.168.0.53 /u:helen.park /p:Summer2022! /cert:ignore +clipboard