本文仅为了学习交流,自己搭建靶机环境进行测试,严禁非法使用!!!
(随笔仅为平时的学习记录,若有错误请大佬指出)
一: 内网靶机分布
内网入口(攻击者和该win10在同一网段,攻击者无法访问win10虚拟机中的主机)
win10 phpstudy thinkphpv5.0.24
域环境(均可以出网)
win7 phpstudy uploads-lab
win2003 jboss4.x漏洞
win2008 域控 双网卡(其中一个网卡链接着下面的主机)
其他主机(以下主机在同一网段,不能出网,与域环境处于不同网段,只有域控可以访问以下主机)
win7 Tomcat
win2008 Mssql
win2003
win2012 weblogic
攻击思路:
拿下存下ThinkPhp漏洞的主机-开启socks代理进入内网-通过uploads-lab上传webshell拿下win7-通过weblogic漏洞拿下win2012dc-通过jboss4.x漏洞拿下win2003-通过MS14-068漏洞拿下域控-添加第二个网卡的路由-通过Tomcat漏洞拿下win7-解密win7的数据库密码拿下win2008权限-获取win2008的远程连接凭证拿下win2003-拿下全部主机
二:(Cobalt Strike3.14简称CS,Msfconsole简称MSF)
访问win10的web服务,发现thinkphp存在漏洞,利用Exp进行getshell
上传代理脚本,本地可以使用proxifier或者sockscap64工具开启socks5代理,进入内网,方便后面访问内网的web服务
访问内网主机win7的web服务,是uploads-lab,存在文件上传漏洞,(笔者用proxifier加上burpsuite,进行代理上传,存在各种问题,故放弃,还望大佬告知,所以采用sockscap64,burpsuite就很稳)
打开cs,生成木马上传到目标服务器,进行内网横向移动
获得了域机器WIN7的Administrator权限,想要一个System权限,继续对Win7进行提权,上传Powerup.ps1脚本,寻找主机上存在可利用的服务
用cs生成木马,用存在漏洞的服务去启动木马文件,用来获得一个system权限
进行域信息收集,然后横向移动
为了方便后面打通内网的其他主机,与msf进行联动
调用Ladon插件,再次进行内网主机信息收集
可以上传Nbtscan扫描,扫描结果比较清晰
MSF添加路由之后,扫描内网中常见的端口,主要从内网主机的web服务入手
对weblogic漏洞尝试cve-2019-48814漏洞,通过cs生成一段powershell代码,通过burpsuite将powershell代码放入该漏洞的Exp中进行攻击
访问内网的8080端口的服务,可以很明显的看到是JBOSS,(由于本地代理JAVA工具失败,所以采用手工上传Webshell,如果是Jboss5.x需要爆破账户密码,后台进行上传webshell)
通过下载vps上部署好的war包,拿下jboss的主机
为了抓取该主机上的凭证,将shell弹到自己的cs上,比较方便,生成exe木马,上传执行即可
抓取win2003的密码,通过sockscap64代理Mstsc,远程连接主机,并上传Incognito,查找域成员的token(其实在CS上也可以通过steal_token来伪造域成员,但无奈没有找到该进程)
获取该域成员admin的NTLM HasH和Sid,后面用MS14-068漏洞来打域控,在vps添加socks4代理之后,用cs上获取的域成员的明文密码,加上该成员的SID,来打域控
拿下域控后,添加域管理员,想通过计划任务,来反弹一个shell(其实也可以采用cs的smb进行攻击,也可以返回一个system权限),我在已经获取win7主机权限之后,添加一个Listen监听器(也就是开一个端口,注意添加一个入站规则,让域控的shell反弹到该主机上)
获取了域控的权限后,弹到MSF中,继续进行信息收集,防止漏掉域环境中其他的域主机
发现域控存在第二个网卡,添加第二个网卡的路由,探测存活主机和端口
对存在Tomcat的主机进行攻击,尝试cve-2017-12615漏洞,看看能不能进行getshell
在Tomcat主机上添加用户(需要用MS17-010去攻击要提供该主机账户和密码),发现菜刀无法上传文件(不知道什么原因),由于在内网中,该主机是无法访问到我们的vps的,采用MS17-010进行攻击,由于主机无法出网,开启正向的连接
探测该主机的进程的时候,发现Tomcat主机中有Navicat进程,便想拿到该数据库的账户和密码,在代理中开启远程桌面,连接远程主机,打开远程主机的Navicat的时候,是无法看到该密码
查找注册表,获取密码加密的字符串,使用大佬的工具进行解密就可以了
通过本地的sockscap64代理Navicat工具,远程连接数据库主机
添加账户,并加入管理员,由于该主机处于第二个网段中,无法访问到我们的主机,而我们是可以访问到该主机,故cs生成一个bind_tcp的监听器,通过make_token将该木马通过ipc上传到目标主机上,然后由计划任务启动,因为使用的是bind_tcp正向的监听器,还需要在cs使用connect连接目标主机,才可以上线
win2008上线之后,导入pwd.ps1脚本,用于获取该主机远程连接其他主机的凭证,即另一台win2003的账户密码,拿到凭证之后,既可以使用本地代理工具,进行连接
到此,全部主机拿下(由于第一天做的时候,已经傍晚了,故第二天没有全部重启靶机,只是打剩下的靶机,所以cs上并没有全部呈现出来)
总结:
这次的内网靶机渗透,先是拿下一台web服务主机,以此为跳板,然后向内网横向,通过扫描内网中常见的端口(21,22,1433,3306,3389,6379,80,8080,7001),可能会有意向不到的惊喜,通过中间件漏洞或者web服务拿下主机权限,然后获取凭证,继续横向移动,尝试Ms14-068,黄金票据,白银票据去攻击域控,cs和msf进行联动可以发挥很大的作用,对于不出网的机器,可以采用smb,或者正向连接都可以,走到死胡同的时候,搜集一下主机上的数据库,远程连接凭证,或者TeamViewer信息,用相关工具破解密码,或许有出其不意的效果。
本次的内网渗透,其实也可以有其他的思路,并没有全部尝试如(在MSF或者cs上采用NTLM hash认证去攻击,或者使用相关工具去导出浏览器的的账户,密码,采用CS上的提权脚本进行提权等等),其次没有安装相关的防护软件,所以让本次渗透也相对容易,真实环境中,要考虑木马免杀,才可以操作。这里只是提供思路,都是常规操作,大佬勿喷,以上的攻击思路,均有借鉴以下文章。
靶机环境有借鉴:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
https://www.i0day.com/1965.html
https://mp.weixin.qq.com/s/W84s12Nx5dXXvkXLoAU2iw
https://exp10it.cn/#/posts/67
未经授权许可,私自测试,均是违法行为,以上均是笔者自行搭建靶机环境进行测试,此文档仅供学习,参与违法行为与笔者无关。