freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

初探内网渗透手法及蓝队视角下的应急响应
2024-07-27 22:51:21

作为一个菜鸡初学内网,对其中的一些常见利用手法进行了总结,同时作为一个经验丰富的小蓝,应急响应技能肯定是必不可少的,所以来分享一波目前自己学到的一些技巧,沉淀作为经验进行分享,如有不足还请大佬们指点。

这里我们提前搭建好了域环境,通过Cobalt Strike来进行攻击演示,然后在对应的虚拟机上查看攻击痕迹。

各主机信息如下:

ad01:10.10.10.136,单网卡

12server4:10.10.10.138,单网卡

12server5:10.10.10.139,192.168.0.108,双网卡

(PS:10.10.10.0/24是域内网段,192.168.0.0/24是直接物理机的网段,用于出网,这里12server5是边界机)

假如红队已经通过Cobalt Strike上线12server5的情况下,首先需要做的肯定是进行内网的一个信息收集(这里提一嘴:免杀工作肯定是要提前做好的,俗话说不打无准备的仗,现在的攻防演练中日志审计和流量告警设备功能越来越齐全,稍有不小心机器很容易掉线)

这里介绍一下常见的一些内网信息收集命令:

net computers  #列出当前域内主机

net domain  #显示当前域

net dclist  #列出当前域控

net  sessions  #列出主机上的会话

首先我们这里拿到的是本机管理员权限,但是该机器存在域用户所属的进程所以我们也能轻松GET到域内信息

1721874835_66a1b99351e57bed64e08.png!small

通过初步的信息收集发现域内的这些机器均开放了139和445端口

基于IPC的横向移动

IPC(共享命名管道资源),为了实现进程间通信开放的命名管道,通过提供可信任的用户名和口令,连接双方的通道,并以此通道进行加密数据的交换,从而实现对远程计算机访问。

利用条件:

1、获得目标机器的账号和密码,这里有个条件限制,必须是工作组的本地管理员或域内的管理员组的用户才能够进行利用,所以利用门槛一般会比较高(关于权限问题可以看这篇文章,我感觉写的很好:https://ares-x.com/2020/03/10/%E5%85%B3%E4%BA%8EIPC%E5%92%8CPTH%E7%94%A8%E6%88%B7%E6%9D%83%E9%99%90%E9%97%AE%E9%A2%98/)

2、目标机器开启了admin$共享,默认共享是为了方便管理员进行远程管理而是默认开启的,包括所有的逻辑盘(C$、D$、E$)和系统目录windows(admin$),通过IPC可以实现对这些默认共享的目录,可以使用net share命令进行查看

3、开放了139和445端口,IPC可以实现远程远程登录以及对默认共享资源的访问,而139端口的开启标识NetBIOS协议的应用。通过139、445端口可以实现对共享文件/打印机的访问。

1721875787_66a1bd4b28146b5d687d7.png!small

关于IPC连接情况,可以使用以下命令进行查询:

net use# 查看本机建立的连接(本机连接其他机器)

net session# 查看本机建立的连接(其他机器连接的本机),需要administrator用户执行

这里我们目前只拿到了一台域内用户主机的权限,在上面的信息收集中我们也看到了还有1台域内机器和2台域控,我们可以考虑做密码喷洒

1721876644_66a1c0a4e7e47faa376d3.png!small

这里要区分一下域内用户名枚举和密码喷洒的区别,我们在尝试对下一台域内就进行渗透时,如果一直在一台机器用多个密码爆破,很容易引起运维人员的警觉,那么我们可以换个思路,尝试用一个密码对多个域内用户进行枚举

能进行域内用户名枚举的原理可以参考这篇:https://www.cnblogs.com/tomyyyyy/p/15192349.html

这里就不放截图了,因为我CS没装相关插件,所以派生了一个会话给msf用于域内用户枚举,发现12server4的hash是和12server5一样的,其实拿到一台域内机器后一般都是进行PTH传递,一种是用Cobalt Strike的横向移动工具盲打,运气好能中转上线,另一种则是我刚才说过的域内用户枚举和密码喷洒了。

1721917988_66a2622416f1eb9a84232.png!small

这里能拿到12server4的权限其实已经稳了,但是我们是为了测试IPC连接,我们先看看能不能抓到12server4的明文密码:

1721883106_66a1d9e220c6842c1a9e8.png!small

拿到了,然后用IPC连接12server4:

net use \\10.10.10.138\ipc$ "password" /user:hostname\username        #工作组
net use \\10.10.10.138\ipc$ "password" /user:domain\username #域内主机

1721920595_66a26c5358cd992183326.png!small

建立连接后,能做的事情就很多了

查看文件列表:dir \\10.10.10.138\C$\
下载文件到当前路径:copy \\127.0.0.1\c$\test.exe test.exe
上传文件:copy test.exe \\127.0.0.1\c$
查看文件内容:type \\127.0.0.1\c$\test.txt
查看目标服务器时间:net time \\127.0.0.1

1721920625_66a26c719019fe23b9c7e.png!small

为了进一步维权这里考虑添加计划任务执行我们的木马,一般Windows计划任务有两种:(1)at(适用于W

# Cobalt strike # 安全日志分析 # 安全应急响应
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录