一、WEB打点
这是一次很普通但又很幸运的渗透过程,某次闲来无事跟好兄弟在某网站进行渗透测试,发现该网站属于某CMS,然后我们紧接着就搜索到该CMS存在文件上传漏洞。然后,我跟好兄弟立马复制了数据包进行测试,发现成功jsp文件。(这里浅浅放一张打了很多码的图片,毕竟漏洞细节还是不公布了)
然后马不停蹄的赶紧上传了一个webshell上去,使用工具连接,因为前期信息收集我们知道了使用Tomcat中间件,因为特性原因,所以不用看都知道,一定是我最喜欢的最高权限,但是这里我们还是使用了命令查看。whoami -> nt authoritysystem,立马又来了一个 ipconfig /all
发现存在域环境。
到这里好兄弟跟我哈喇子都快流出来了,平时都是只能打打靶场过过瘾,这次终于能实战一波了,行了废话不多说,我们直接进入域渗透。
二、域渗透
确定是域环境后,我们也没有闲着,还是进一步的信息收集,最后确认确实存在域环境
输入以下命令确认是否存在域环境
net time/domain
net view
等等一些命令
然后我们尝试ping www.google.com 发现机器不出网,这时候有点难搞了。思考了很久,想出来两种解决方法,一种是基于HTTP隧道让机器上线到我们CS(这里我尝试了很久都没有成功,所以就不写了,有需要的好兄弟可以看看这篇文章,写的很不错。不出网的内网域渗透),另外一种就是使用DNS协议上线CS。
步骤一:购买vps以及域名并配置记录
第一步:先配置一个A记录 让A记录 -> vps的公网地址
第二步:创建NS记录 让 NS记录 -> A记录的域名 (最好创建两个)
配置完成后需等待5-10分钟才能生效
![记一次内网渗透复盘-拿下域内30+机器]()
步骤二:创建好之后使用ping 命令来ping A记录 如下表示配置成功
步骤三:然后使用nslookup 功能 来查看A记录是否成功 如下图: (需要注意必须打开CS,否则有可能不会出现非权威应答)
步骤四:打开CS然后创建一个DNS协议的监听器 配置中的DNS Host都为A记录的地址
最后生成木马即可。当然还是需要做一下免杀的!
当完成配置之后,肯定需要最目标机器做一波信息收集,收集一下对方机器安装了哪些杀软,然后输入 tasklist /svc 即可。最后把内容复制出来放到杀软识别网站上进行识别。
本来识别出来一个SentinelOne(EDR)和微软自带的杀软,由于一些原因,这里没有显示。当识别出来杀软之后就需要跟据杀软来进行免杀操作了,这里由于作者没有合适的免杀工具,所以没有做免杀,毕竟有System权限,我直接把杀软关了不是更香吗?
然后直接一手 taskkill /pid xxx /f 强制关闭了 SentinelOne(EDR)
输入命令 netstat -ano | findstr 3389 -> 发现对方没有开启远程连接
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 开启远程3389
再次输入 netstat -ano | findstr 3389 发现成功开启。
再次使用命令 关闭全部防火墙:netsh advfirewall set allprofiles state off
![记一次内网渗透复盘-拿下域内30+机器]()
然后由于对方不出网的限制,所以我们这里上传的http的流量隧道,此时通过流量隧道,我们成功连接到对方主机的远程登录界面。 -> 然后使用我们创建的 administrator权限登录主机 并关闭Windows Defender
随后就是让主机上线到CS上并对域环境进行信息收集,因为CS上面插件比较多,做起来还是比较方便的,所以我们还是需要进行CS的上线,需要注意的是这里必须生成带Stageless的,因为Stageless的exe是完整的木马,而普通的还需要远程下载一些配置,所以要选择带Stageless的。(但是这里我不知道什么原因没有成功上线)。最后还是运行的poweshell命令成功上线。
需要注意的是:使用dns协议上线的时候必须执行以下命令checkin 是指Beacon 回连主机,回传受害系统的元数据,准备好进行任务数据通讯的状态。mode dns-txt# 使用 Beacon 的模式命令来改变当前 Beacon 的 数据通道。 mode dns-txt 是 DNS TXT 记录数据通道。DNS TXT 记录是默认的数据通道。
成功上线。然后接着做信息收集,毕竟渗透的本质也就是信息收集。然后这里我想上传fscan进行扫描的,不知道为什么上传不上去,只要上传文件,这个木马就会掉。(推测可能是dns协议不是很稳定,不能太大流量)这里原因不是很清楚,有认真阅读的大佬,看到这里一定要评论告诉我原因。--.--
虽然CS没法上传文件,但是我们还是使用一些插件中的命令来进行了信息收集。发现了一台主控制器以及12台辅助控制器。看到这里想想这个域环境里面的机器一定少不了。同时渗透的难度也肯定不小。
到这里,心想既然无法上传文件进行信息收集,倒不如直接上“寻血猎犬”收集,我俩一拍即合,一个使用fscan对所有网段进行收集,一个使用猎犬进行收集。
不得不说Fscan是个好东西,使用它扫描出来很多好东西,帮我们理清那个主机名称以及对应的IP,还有哪些IP有web服务。同时还发现了一个linux主机的弱口令,但是我上去之后没有什么发现,而且也找不见文件放哪里了。由于fscan扫描了很多,这里我就浅浅放一张截图把。
然后我们又把寻血猎犬收集到的内容使用平台进行了分析。发现存在11个域管理员,好家伙,第一次实战就碰见硬骨头。差点给劝退了!
然后我们又尝试查看DCSync路径、到域管的最快路径等待,发现都没有数据。到这里想我这样的小白心已经凉一半了。毕竟是个小白能力有限,不想大佬们总是能在一点点线索中顺藤摸瓜找到思路。
不过我也是没有灰心,我把拿到权限的那台主机标记为以拥有之后,查看了 “来自自有主体的最短路径”
分析出当前主机内存中存在三个凭据,然后通过第一个RAMAK***用户最后能获得PHQ**以及FIN**两台主机。
有了思路,那就继续开干,想着先拿下这两台机器,然后再从这两台机器入手,看看能不能找到什么蛛丝马迹。然后直接把mimikatz上传到被控主机上,进行读取明文密码。
C:/****> mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / ## /*** Benjamin DELPY `gentilkiwi` ( [email protected] ) ## / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( [email protected] ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/mimikatz(commandline) # privilege::debugPrivilege '20' OKmimikatz(commandline) # sekurlsa::logonpasswords * Username : Rama*** * Domain : PETR*** * Password : Oli1*** * Username : Bens*** * Domain : PETR*** * Password : Giob***
到这里咱们成功拿到Rama***账户的密码,然后就当我们在进行横向移动准备拿下PHQ**以及FIN**两台主机的时候,出现了意外,“密码不正确”,看来被人修改了。当时作者天都塌了,最后只能寄希望于BENSONP这条路径了。
随后,我转头我就开始分析Bens**这条路径,发现这条路径还是比较幸运的,我们发现BEN***这个账户对WDL这台主机拥有绝对控制全新啊,而这台机器中又保存了PETRA***的凭据,这个账户又在PHQ用户组中,对HERM***有修改 密码权限,最后可以拿下域控,分析到这里,我又复活了,感觉自己有行了。
然后拉着好兄弟就赶紧往下渗透,当我横向移动到WDL这台主机之后才彻底傻眼,这台主机也有杀软,可恶的哨兵一号。既有杀软,也没有system权限,没法提权拿到凭据,我彻底伤心了。(毕竟能力有限)
索性直接休息了一周,一周之后在我远程登录的时候发现其他用户这里多了一个,猜测这段时间有人登录了,然后重新读取密码,然后发现了留下的JOHAN**这个凭据,因为后续没有在收集了,所有上图中没有。然后我们把拿到的这个账户表示为以获得,然后重新分析路径。最后点击从 “自有主体到域管的最短路径”,发现了存在两条路径。
然后第一条路径,CUL这个组是CDM的本地管理员,然后我想这可以登录这台主机,然后在获取凭据最后登录域管。
第二条就是上面分析的那个。通过两个一对比,想了想还是第一条比较简单,然后试着用JOHAN**用户准备横移到CDM,结果发现失败。然后到这里就没有头绪了,眼看马上到手的胜利,想想都开心。思考了很久没有好的方法,转头,请教了一位师傅。大佬直接告诉我可以尝试PTK攻击,另外顺手请教后续过程,毕竟免杀这块有点头大。
转天,我想自己试试PTK攻击,然后我就去尝试读取内存中的aes密钥,结果我真的是太幸运了,虽然没读取到aes密钥,但是我拿到了第二条路径的PETRA***用户的凭据,也就意味着我可以直接更改HERM**用户的密码从而拿到域管。
到这里,作者已经哈哈大笑了,只剩下一步就能拿到域控了。直接使用PETRA****这个用户修改Rerman***这个域管的账户的密码,在登录域控机器,基本就算完成了。
然后我登录PETRA***这个账户去修改密码首先登录PETRA***这个账户 -> 然后输入下面命令进行修改 net user username password /domain输入完之后,结果提示这个!!!!!我tm是真服了,这安全意识是真高,前脚刚给了我账户的凭据,后脚就把那个域管理员给删除了,真的没谁了。
当时我直接破大防了。这还没半个月呢这个域管就被删了,我只想问候他祖宗。然后气的博主,直接大晚上在使用猎犬 收集一波,重新使用新数据进行分析。
重新分析出来这条路径之后,事不宜迟立马横移到FIN这台主机上,使用tasklist /svc 查看发现这台机器没有防护,感觉时来运转了,立马进行信息收集提权。
使用systeminfo 命令对系统补丁以及系统版本号进行识别把结果放到提权识别网站上识别,并没有发现可用得exp然后在网上搜索了一波,发现一个可用得exp执行whoami /priv命令,当前用户拥有SeImpersonate特权,说明大概率可以直接使用Potato土豆系列的Exploit进行提权然后去github上下载了一个GodPotato 也是成功提权 参考文章:https://mp.weixin.qq.com/s/Au1Eb_5o5_uE3QcEylT0kA
发现有SeImpersonate特权之后,立马使用GodPotato土豆提权,成功拿到System权限。
随后就是正常得读取凭据,但是坑爹得玩意儿,凭据过期了,读取下来得凭据中没有KACE_DC这条账户信息,天要塌了。。。。
不是吧,哥们。直接给我干傻眼了,走一条,一条不通。(感觉这运维人员看我渗透没进度,时不时送我一点信息)
借用师傅得话来说就是我纯纯再给人家做安全检测,这给我整笑了。其实在最后这段打的过程中,还是被发现了,大半夜直接把我IP给封了。然后没打下来就请教了师傅。师傅看了一眼,说“管理员把GPO和ACL玩明白” 可以看看委派属性啥的,毕竟目前技术还是个小白,分析不出来。
哎,打到这里,虽然没有拿下域控,但是也拿下域内不少得机器,少说30+也是有得了,这里就不放截图了。然后因为作者技术有限,外加这个域内有EDR+ACL+人员监控,大佬说不是高级红队不好弄,但是想想,我是什么牛马,我连红队都算不上呢,索性先放弃。整理一波文章先发出来,等后续又进展了在补齐后面得内容。
有看到最后得大佬们,如果有好用EDR绕过工具或者技术啥的(最好是SentinelOne)或者需要我提供 寻血猎犬 资料的可以找我,我可以免费提供。最后,看些看到这里的朋友。
原文始发于微信公众号(黑白之道):记一次内网渗透复盘-拿下域内30+机器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论