小猪佩奇与Tom猫的一场内网友谊赛

走过路过,不要错过这个公众号哦!

万幸在狂轰滥炸的期末考试中没落地成盒,闲的发慌,突然想起来之前对于内网一直不理解,借着学长搭的环境,小猪佩奇与Tomcat进行了一场内网较量,收获颇丰。

实验目的:

1、代理转发工具的利用

2、hash抓取

3、得到域控的flag

外网Tomcat攻击

访问http://xxx.xxx.xxx.xxx:2102/manager/html即tomcat后台需要密码

于是尝试对管理密码进行爆破

这里使用msf的auxiliary/scanner/http/tomcat_mgr_login 的tomcat管理密码爆破模块进行爆破,爆破成功得到用户名密码为:admin:admin888,成功登陆后台

0x01代理搭建

将jsp的木马压缩成.war包,然后上传到服务器getshell

使用Cknife去连上去

但是这里其实权限比较低,不能执行命令,也就没法去找内网网段。但还是有文件读写写权限。于是乎就只能去读一下它的网卡信息了。找了下,在/etc/sysconfig/network-scripts/ifcfg-ens33文件发现该主机的内网IP和子网掩码。

IP是10.10.10.2,子网掩码是255.192.0.0,还有个网关在10.0.0.2

这里我们需要使用reGeorg开启socks5反向代理,reGeorg是内网渗透工具之一。上传反向代理服务端至远程主机,把reGeorg的对应脚本上传到服务器端,reGeorg提供了php,asp,jsp脚本,上传后直接访问相应脚本页面显示“Georg says, 'All seems fine'”,表示脚本运行正常。然后在攻击机上通过py脚本开启socks5反向代理服务。

0x02DZ论坛发现与攻击

先扫描内网,这里通过proxychain4代理F-NAScan来扫描内网(windows下可以使用proxifier作为代理),扫描完成后获得一个html格式的报告,打开后,发现内网有2个存活的主机,分别是10.10.10.2和10.10.10.10.6。

10.10.10.2有22、8080、8081端口(就是tomcat的服务器)

10.10.10.6有53、139、445、3306、3389以及80端口,所以选择10.10.10.6作为攻击目标。

用proxychains4开启火狐代理,访问内网。打开后发现是Dz论坛,并且版本号为7.2,在网上找了下关于Dz7.2版本的漏洞,发现有discuz 7.2 faq.php注入漏洞,并且还有exp,是一个注入漏洞全自动利用工具。

0x03Web机器信息收集与hash抓取

使用Cknife连接后发现是管理员权限,由于要获取hash,上传mimikatz,上传后本来想通过模拟终端运行mimikatz来抓取hash,但是虚拟终端执行失败,并且Cknife连上后不稳定,一直掉,真的很玄学,经过一番苦斗之后,我选择放弃了Cknife。

这时我想起来3389端口是开启的,所以想通过执行php函数来创建用户,远程连接,然后来运行mimikatz来抓取hash

由于我用的是kali作为攻击机,要远连windows,这里我选择使用remmina来远连windows。

登录后域控的域名,用nslookup查找域控IP,发现域下还有一个服务器,10.30.10.20。

用之前上传的mimikatz进行hash抓取,发现一个叫isisadmin的帐号,并获取其HTLM。

得到hash之后就可以进行hash传递攻击,这里PTH得到域控的权限。通过mimikatz⾃带的hash传递能得到后面的⼀个新shell,这个shell就是域控的shell,那么我们可以通过这个shell来获取到域控上的⽂件或者执行代码。

0x04获取flag

在弹出的cmd中IPC访问域控,然后看一下域控的桌面,发现有个Market_Plan.doc,查看其内容发现有flag。

0x05 总结

心得:

通过本次的实验,总结内网的渗透首先是攻击边界机,通过边界机来访问内网的机器,这里我们是向边界机上传代理,攻击机通过代理来访问内网。寻找内网机器以及域控,经常会使用mimikatz对内网windows机器进行密码和hash抓取,然后通过hash传递攻击得到域控的权限。

工具介绍:

reGeorg下载和使用方法:https://github.com/sensepost/reGeorg

F-NAScan下载和使用方法:https://github.com/ywolf/F-NAScan

Dz7.2漏洞的exp:http://www.jb51.net/article/53299.htm

mimikatz下载和使用方法:http://www.freebuf.com/sectool/37162.html

pth学习:http://rinige.com/index.php/archives/160/

看不过瘾?合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦》

别忘了投稿哟!!!

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180118G0W5EK00?refer=cp_1026

扫码关注云+社区