对某外企的一次内网渗透复盘(二)

admin
admin
admin
139350
文章
114
评论
2022年8月2日10:35:02评论84 views字数 2672阅读8分54秒阅读模式

0x01 Getshell

目标站页面

对某外企的一次内网渗透复盘(二)

信息收集
主站未上CDN,先看C段,发现了多台台服务器安装了Weblogic,直接上EXP打,发现全部存在反序列化漏洞。对这些机器测试,发现某一台未安装杀软,挑最弱的下手,但后面横向移动还需要免杀上线。

CVE-2019-2725-Bypass
http://xxx.xxx.xxx.xx
无杀软,哥斯拉上线

对某外企的一次内网渗透复盘(二)


0x02 内网信息收集

信息收集:

当前system权限,只有一个网段192.168.0.0/24,并发现存在域环境:latam.com,当前机器是域内机器。
域控主机

主域控:ARBUEDCP02$       ARBUEDCPV01$             ARBUEDCPV03$             
ARBUEDCRV01$             ARCFDCPV01$              ARCRVDCPV01$             
ARCSDCPV01$              ARCTDCPV01$              ARLHDCPV01$              
ARMDZDCPV01$             ARMDZDCPV02$             ARNQNDCPV01$             
USIADDCPV01$             VLABA-DC02$              VLABA-DC03$

域管理员

AR_CRV_Veeam_Adm         sai-admin                sa-o365                  
sa-sql                   sa-sql2                  sqlservice               
su-ceiman                su-cgarcia               su-dmansilla             
su-jkalaydjian           su-lcersosimo            su-mcarlino              
su-mferreira             svc_adauditplus          svc_sccmagentinstall     
svc_selfservice          svc_sqlmanageengine      Svc_VeeamAdm

域用户

对某外企的一次内网渗透复盘(二)

域内主机

对某外企的一次内网渗透复盘(二)

在进程列表中,发现当前机器有域用户scom_das登录的痕迹,使用CS Mimikatz抓取明文密码和Hash,只发现本地Administrator帐户和对应的Hash值。

administrator xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx    

扫描域内存活主机和端口

使用Ladon插件进行内网端口扫描,发现多台机器安装Weblogic中间件。
192.168.0.75 7001 
192.168.0.82 7001 
192.168.0.81 7001 
192.168.0.150 7001 
192.168.0.168 7001

使用frp进行反向代理,将本地kali的流量代理进内网。

0x03 横向渗透

发现当前C段内存在不少部署Weblogic的服务器,都有对应的反序列化漏洞,但主机上都存在杀软:趋势科技,测试发现哥斯拉的Webshell可以使用,但CS的马需要进行免杀,才能上线。

192.168.0.75 7001 有杀软 可以使用哥斯拉
192.168.0.82 7001 有杀软 可以使用哥斯拉
192.168.0.81 7001 有杀软 可以使用哥斯拉
192.168.0.150 7001 有杀软 哥斯拉不行,需要免杀
192.168.0.168 7001 有杀软 certutil -urlcache -split -f
免杀马即可上线 机器全部出网

上线至CS之后,抓取明文密码和Hash,但没有发现其余用户账号和hash,只能使用Administrator账号和hash,psexec尝试批量上线其余机器,因为是Administrator用户,工作组情况下也可以的。

psexec_pth administrator xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
192.168.0.3
192.168.0.4 
192.168.0.11
192.168.0.19
192.168.0.37 
192.168.0.60
192.168.0.71 
192.168.0.74
192.168.0.238

对某外企的一次内网渗透复盘(二)

域内机器上线成功之后,继续抓取明文密码和Hash,终于发现多个域管明文密码和账号,如下所示。

LATAMsa-sql             xxxxxx
LATAMsu-lcersosimo      xxxxxx
LATAMsu-mcarlino        xxxxxx
LATAMSvc_VeeamAdm       xxxxxx

对某外企的一次内网渗透复盘(二)


0x04 域渗透

得到域管帐户和密码后,选择一个,使用winrm对两台域控机器进行上线,上线成功后进程迁移,并得到在ARBUEDCP02$域控机器上的账户本。

LATAMsa-sql  xxxxxx
192.168.0.66  ARBUEDCPV01$
192.168.0.25  ARBUEDCP02

对某外企的一次内网渗透复盘(二)

对某外企的一次内网渗透复盘(二)

使用winrm和域管理员帐户密码继续横向上线,直至域内机器全部上线,打穿整个域,完成目标。

对某外企的一次内网渗透复盘(二)

网络拓扑图:

对某外企的一次内网渗透复盘(二)


0x05 痕迹清理

删除免杀马,防止被杀软识别,免杀失效。
删除上传的代理工具。
清理日志,wevtutil.exe。


0x06 总结

外围打点,注重资产收集、攻击面的扩大,以及0day的收集,webshell的免杀,方便在项目中直接使用。

内网渗透,注重木马的免杀和信息的收集,以及横向渗透的思路的扩展,拿下每一台机器都要进行抓取明文密码和hash的操作并翻看机器上的文件寻找存在的配置文件,如有需要做好权限维持。

域渗透,注重域控主机的信息收集(根据当前主机操作系统选择不同的横向工具)和域管理员帐户密码的收集,Kerberos认证知识要去学习。
擦屁股,删除webshell和内网渗透工具,还有日志。


From:https://hui-blog.cool/posts/f439.html

往期推荐 

// 1

对某外企的一次内网渗透复盘(一)

// 2

配置reGeorg+Proxifier渗透内网

// 3

【PyHacker编写指南】爆破一句话密码

// 4

熊海CMS1.0代码审计

原文始发于微信公众号(巡安似海):对某外企的一次内网渗透复盘(二)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月2日10:35:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对某外企的一次内网渗透复盘(二)https://cn-sec.com/archives/1215854.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息