某市攻防演练内网漫游实战

admin
admin
admin
138876
文章
114
评论
2024年10月8日14:08:23评论17 views字数 1941阅读6分28秒阅读模式

前言

上一篇因为一些部分原因导致文章被删除

一次某市级攻防演练,算是参加众多攻防演练中自我感觉比较良好的一次,并且也是第一次在攻防演练中将防守单位出局

虽然最后并没有拿到一个很好的名次,不过在这次攻防演练的实战中接触了很多之前只在靶场和文章中看到过的知识点

为了防止对目标单位造成负面影响,本文厚码以及禁止转载

打点

防守单位为xxx景区,提供的靶标资产为xxx景区的购卡系统,购卡系统域名为x1.babiao.com,在靶标中并未找到突破口,于是转念将目光挪到了旁站

通过扫描子域名,得到四五个子域

  1. x2.babiao.com

  2. x3.babiao.com

  3. x4.babiao.com

  4. x5.babiao.com

再对每个子域名的端口进行扫描

最终在x4.babiao.com子域的18003端口得到一个目录索引

某市攻防演练内网漫游实战

根据文件创建时间,大致可以推测这个系统是一个老系统,可能防守单位自己都不知道有这个资产

该页面是一个熟悉的接口Web服务并且里面存在景区的接口

某市攻防演练内网漫游实战

接下来就是挨个对接口进行构造

检测接口是否能够未授权调用造成信息泄露或者存在SQL注入

某市攻防演练内网漫游实战

这里在当时测试时有个小坑,无论如何哪个接口调用都是TIME_OUT

后来发现是因为这个系统太老旧,对应的接口已经变成18**3端口

但是点击调用还是在向8**3端口进行请求,所以需要手动更换一下端口

某市攻防演练内网漫游实战

通过对每个接口进行测试

在Get*******Info接口处发现一个SQL注入

某市攻防演练内网漫游实战

吃西瓜

直接将数据包丢到sqlmap,运气较好拿到一个mssqlserver低权限的--os-shell

python sqlmap.py -r admin.txt --batch --dbms "Microsoft SQL Server" --os-shell --random-agent --no-cast

某市攻防演练内网漫游实战

不能直接通过powershell上线,并且使用certutil和powershell下载C2木马无法落地

经过一晚上的测试得出无法下载exe格式的文件,无论是白文件或者木马只要是exe格式落地就被删除了

后来通过曾哥的一篇文章了解到可以使用certutil将C2木马加密为txt格式文本,再到目标主机使用certutil将txt文本进行解密

某市攻防演练内网漫游实战

说干就干,将C2木马加密为txt格式文本

通过--os-shell下载txt成功落地,再使用certutil进行解密运行,成功上线CS

使用LSTAR插件提权到SYSTEM权限,这里由于当时没有截图只能给出成果图了

某市攻防演练内网漫游实战

后渗透

然后就是常规的内网刷分操作

搭建Scosk代理并梭哈fscan进行刷分,各类弱口令以及MS17-010

但到此为止内网仅仅只有3、4k分,距离防守单位的1w还需要更深的渗透

接下来需要对前面的Web弱口令、Ftp未授权尝试Getshell企图寻找第二层内网

某市攻防演练内网漫游实战

通过对几个网站进行getshell,但是寻找无果都是单网卡主机,并不通向其他网段

在翻阅fscan扫描结果时发现内网中另外一个mssql数据库sa权限

得来全不费功夫,直接连接上去开启xp_cmdshell

某市攻防演练内网漫游实战

并使用powershell上线CS

某市攻防演练内网漫游实战

当时看到后面Note带了一个Ver 6.1不清楚是什么意思,怀疑是否存在更大的内网

使用甜土豆将权限提升至SYSTEM权限,发现主机内网IP为10段

ipconfig /all查看网卡信息,发现正处于防守单位靶标域内

某市攻防演练内网漫游实战

mimikatz抓到Administrator密码

某市攻防演练内网漫游实战

正当我登录RDP摩拳擦掌准备大展身手时却提示用户名或密码不正确

某市攻防演练内网漫游实战

由于当时准备吃午饭于是便放到一旁,吃饭的时候也一直在想为什么无法登录

后来饭吃完了没想明白为什么无法登录,于是打算死马当活马医直接登录域控

某市攻防演练内网漫游实战

定位域控进行登录,啪一下很流畅就登录上来了

上来之后定睛一看,居然是一个酒店的厨房点菜系统???

某市攻防演练内网漫游实战

过了一会马上管理员就被挤下去,当时就不敢再登录了

后来冷静思考了一下,这个是厨房的点菜系统,所以当我登录上去之后导致那边服务员被挤下去了无法点单,所以那边会再登录上来

然后就光速上去加了一个域管账户,就退下来了

通过新添加的域管账号登录上去,查看域活动目录,域内为防守单位xxx景区78台主机

某市攻防演练内网漫游实战

通过查看主机发现存在另外一台AD主机,再次尝试密码复用,拿下第二台域控

某市攻防演练内网漫游实战

至此防守单位被彻底沦陷出局

彩蛋

当时在内网横向期间管理员一直在登录

给他弹了个窗,结果就不再挤了

某市攻防演练内网漫游实战

PS:千万不要学我

参考

  • 苛刻条件下C2上传执行骚姿势:https://blog.zgsec.cn/index.php/archives/158/

  • SQL注入恶劣环境之可执行文件上传骚姿势:https://blog.zgsec.cn/index.php/archives/258/

该文章已开启原创声明

未经授权禁止任何形式的转载

原文始发于微信公众号(饼干安全区):某市攻防演练内网漫游实战

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月8日14:08:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某市攻防演练内网漫游实战https://cn-sec.com/archives/1996247.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息