安基網 首頁 安全 滲透測試 查看內容

域滲透之靶場實戰

2019-12-7 13:00| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 最近,要做一個技術沙龍,本來想分享一下安全研究的一些心得,但是好久之前想做一個域滲透的一個深入總結,但是一直擱置,借這個機會對域滲透的技巧總結一下!算是給自己一個交代:)正文這里用的是搭建好的一個域環境,吐槽:這個是真的大,下了好久~地址:http://vulnstack.qiy ...

原創: Kale 合天智匯

前言

最近,要做一個技術沙龍,本來想分享一下安全研究的一些心得,但是好久之前想做一個域滲透的一個深入總結,但是一直擱置,借這個機會對域滲透的技巧總結一下!算是給自己一個交代:)

正文

這里用的是搭建好的一個域環境,吐槽:這個是真的大,下了好久~

地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

拓撲如下:

環境說明

內網網段:10.10.10.1/24

DMZ網段:192.168.111.1/24

配置信息

DC

IP:10.10.10.10 OS:Windows 2012(64)

應用:AD域

WEB

IP1:10.10.10.80

IP2:192.168.111.80 OS:Windows 2008(64)

應用:Weblogic 10.3.6 MSSQL 2008

PC

IP1:10.10.10.201

IP2:192.168.111.201 OS:Windows 7(32)



信息搜集

拿到環境后,首先進行端口探測,這里使用-sS參數,由于防火墻的存在不能使用icmp包,所以使用syn包探測


通過掃描端口,我們通過端口初步判斷目標機存在的服務及可能存在的漏洞,如445端口開放就意味著存smb服務,存在smb服務就可能存在ms17-010/端口溢出漏洞。開放139端口,就存在Samba服務,就可能存在爆破/未授權訪問/遠程命令執行漏洞。開放1433端口,就存在mssql服務,可能存在爆破/注入/SA弱口令。開放3389端口,就存在遠程桌面。開放7001端口就存在weblogic。

信息整理完后,我們要決定從哪條路進,這里先選擇從weblogic,主要是由于weblogic的漏洞很多rce的,并且利用中間件漏洞相對于系統漏洞動靜稍小些,....藍屏什么的對吧。


那么實際的操作是怎么樣呢,小編在合天網安實驗室找到了相關的實驗,

Web漏洞掃描工具:

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916400500001

漏洞利用

可知WebLogic Server 版本: 10.3.6.0,這里直接使用專門掃描WebLogic漏洞的WeblogicScan來檢測,除此之外還有thinkphpscan什么的。

存在CVE-2019-2729和CVE-2019-2725

反序列化漏洞是由 wls9-async 組件 導致的,該組件默認開啟,看一下是否存在該漏洞

訪問 192.168.3.141:7001/_async/AsyncResponseService

使用CVE-2019-2725的exp成功執行命令


上傳shell


但是使用上面這個shell,終究不方便,我們要拿自己的shell,比如冰蝎shell或者msf shell和cs shell,所以嘗試反彈shell,使用powershell 等方式失敗,接著嘗試遠程下載各種方式也失敗。于是嘗試搭建smb服務器,進行文件共享一個冰蝎shell,至于為什么用冰蝎,等下你就明白了

使用kali自帶的


使用網上公布的帶命令回顯的方式,把共享的shell復制到目標機,參考:https://github.com/lufeirider/CVE-2019-2725


順便吐槽一句,網上那些沒搞明白的大佬不要亂發文章了 ,看了別人的文章上傳shell,結果一直連接不了。結果上傳目錄根本不是web目錄,最后修改上傳/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/目錄才拿到shell


拿到冰蝎shell可以和msf聯動,拿到msf shell


在kali打開msf設置監聽


成功拿到shell,這里說明一下,冰蝎給的msf反彈shell過時了,現在為java/meterpreter/reverse_tcp

tip:如果cmd出現亂碼,切換編碼即可:chcp 65001



Cobaltstrike

本來并不是非要再拿一個cs shell,但是有時候cs用著確實比msf方便,剛開始想通過注入進程,直接遷移,結果莫名失敗,后來使用cs的powershell命令payload,發現不能執行。。再者就生成了一個exe,成功彈出shell




運行portscan模塊,掃描內網


不得不說,確實比msf的友好!

順便說一下。怎么把cs的shell轉到msf

先在cs設置一個foreign的listener,然后在你想派生的shell,右鍵spawn,選擇對應的listener


然后再msf同時設置監聽


CobaltStrike高級威脅技術:

http://www.hetianlab.com/cour.do?w=1&c=CCID2d18-ca1f-4b83-beef-99dbeb136b22

proxy

拿到shell,嘗試進行開啟socks5代理,可以使用msf的auxiliary/server/socks5模塊,也可以用Regeorg + proxychains。

將reGeorg的tunnel文件上傳到肉雞服務器到網站目錄下,攻擊機執行python reGeorgSocksProxy.py -p 6666 -u http://test.com/tunnel.php。然后修改proxychains.conf 配置文件,改成socks5 127.0.0.1 6666,在使用proxychains nmap進行掃描就行了




不過,這樣用nmap的時候,有點慢,所以換了auxiliary/server/socks5模塊。

首先查看并設置路由


把10網段添加到目標機路由


設置好之后就使用socks5輔助模塊

然后,按照之前的方法,設置proxychains即可。

掃整個網段同樣很慢,所以直接掃域控主機

直接使用Cobalt Strike的socks代理亦可,方法類似,不再演示。

Dump hash

mimikatz

嘗試讀取服務器密碼

直接上傳mimikatz對lsass.exe進行操作很容易被殺軟發現,通過使用powershell和procdump來繞過,這里powershell亦有限制,procdump為微軟官方工具,所以不會被殺。所以使用procdump來先dump內存hash,保存為dmp文件,然后用mimikatz在本地破解明文hash。

procdump64.exe -accepteula -ma lsass.exe lsass.dmp


然后在本地對dump下來的hash進行破解

mimikatz.exe "sekurlsa::minidump neicun.dmp" "sekurlsa::logonPasswords full" exit


發現兩個用戶,一個Administrator,一個mssql,密碼都為[email protected]。

使用cs的logonpasswords功能dmup明文密碼

LaZagne

這里再介紹LaZagne一個收集密碼工具-LaZagne,每個軟件都使用不同的技術(純文本,API,自定義算法,數據庫等)存儲其密碼,這個工具是用來獲取存儲在本地計算機上的密碼,諸如瀏覽器密碼等等

工具地址:https://github.com/AlessandroZ/LaZagne


橫向移動-pth攻擊

pass-the-hash在內網滲透中是一種很經典的攻擊方式,原理就是攻擊者可以直接通過LM Hash和NTLM Hash訪問遠程主機或服務,而不用提供明文密碼。

這類攻擊適用于:

  • 域/工作組環境
  • 可以獲得hash,但是條件不允許對hash爆破
  • 內網中存在和當前機器相同的密碼

微軟也對pth打過補丁(KB22871997),然而,在測試中發現,在打了補丁之后,常規的Pass The Hash已經無法成功,唯獨默認的 Administrator (SID 500)賬號例外,利用這個賬號仍可以進行Pass The Hash遠程連接。如果禁用了ntlm認證,psexec無法利用獲得的ntlm hash進行遠程連接,但是使用mimi還是可以攻擊成功的。

首先經過查看發現主機并沒打KB22871997(拿到權限后查看),所以普通用戶也可進行pth攻擊,對域控進行攻擊,這個用戶必須是域控主機上的用戶,我們需要一個用戶名和對應的hash。之前從拿下的主機中有個de1ay的用戶

由于用其它方法均失敗了,所以直接使用cs的pth模塊進行嘗試

進行之前查看能不能訪問域控資源

在cs里面右鍵session,選擇Access->make token

再次訪問域控資源,發現成功


嘗試添加域控管理員,這里是添加hacker用戶,兩次截圖的結果有點不一致,之前忘截了一張補了個新用戶

net group "Domain admins" hacker /add /domainnet user hacker [email protected] /add /doamin

建立IPC$連接上傳木馬 建立后可以訪問目標機器的文件(上傳、下載),也可以在目標機器上運行命令。上傳和下載文件直接通過copy命令就可以,不過路徑換成UNC路徑。

常用命令

net use ipipc$ pawword /user:username 建立IPC連接 copy hacker.exe 10.10.10.10C$windowstemp 復制本地文件到目標服務器copy 10.10.10.10C$windowstemphash.txt 復制目標服務器文件到本地

然后用msf生成一個木馬用copy命令上傳,不用cs的原因是cs的路由問題真是搞不懂~路由添加失敗,所以用msf添加路由進行監聽彈shell
copy hacker.exe hostc$windowstempfoobar.exe ##IPC拷貝木馬文件

然后wmic命令執行木馬

msf設置監聽,收到shell

先添加路由

成功拿到域控的shell

橫向移動-ptt

ptt攻擊的部分就不是簡單的ntlm認證了,它是利用Kerberos協議進行攻擊的,三種常見的攻擊方法:MS14-068,Golden ticket,SILVER TICKET.

簡要介紹一下Kerberos協議具體工作方法:

  • 客戶機將明文密碼進行ntlm哈希,然后和時間戳一起加密(使用krbtgt密碼hash作為密鑰),發送給kdc(域控),kdc對用戶進行檢測,成功之后創建TGT(Ticket-Granting Ticket)
  • 將TGT進行加密簽名返回給客戶機器,只有域用戶krbtgt才能讀取kerberos中tgt數據
  • 然后客戶機將tgt發送給域控制器KDC請求TGS(票證授權服務)票證,并且對tgt進行檢測
  • 檢測成功之后,將目標服務賬戶的ntlm以及tgt進行加密,將加密后的結果返回給客戶機。ms14-068

MS14-068是密鑰分發中心(KDC)服務中的Windows漏洞。它允許經過身份驗證的用戶在其Kerberos票證(TGT)中插入任意PAC(表示所有用戶權限的結構)。該漏洞位于kdcsvc.dll域控制器的密鑰分發中心(KDC)中。用戶可以通過呈現具有改變的PAC的Kerberos TGT來獲得票證.

利用過程

1.whoami/user 得到普通域用戶的sid

2.使用 pykek 生成票據,用 proxychains 把 pykek 帶入內網

3.第三步不是必要,使用上面的生成的即可進行憑據注入,但是轉換成kirbi 格式可以進行更多操作。使用使用 KrbCredExport進行轉換

4.使用cs進行憑據注入

清除憑證

kerberos_ticket_purge

使用kerberos_ticket_use進行憑據注入

成功訪問域控資源,接下來的操作和上面相同,利用$ipc拿shell即可

寫在最后

拿到域控后,就可以做很多事情了,不再繼續了,比如:制作黃金票據,導出域hash等等。

聲明:筆者初衷用于分享與普及網絡知識,若讀者因此作出任何危害網絡安全行為后果自負,與合天智匯及原作者無關!



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6767229354616291854/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 李逵劈鱼手机版下载无限金币 股票微信二维码群 福彩喜乐彩开奖号 最新22选5开奖结果今天 捕鱼王棋牌ios 姚记棋牌app下载 浙江20选5走势图(带坐标线 能赚钱的手机网游 河南22选5幸运之门 什么捕鱼游戏最好玩