【安全研究】对域环境靶场的渗透与思考

靶场地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

本次红队环境主要采用Access Token利用、WMI利用、域漏洞利用SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码：1qaz@WSX

1.Bypass UAC

2.Windows系统NTLM获取（理论知识：Windows认证）

3.Access Token利用（MSSQL利用）

4.WMI利用

5.网页代理，二层代理，特殊协议代理（DNS，ICMP）

6.域内信息收集

7.域漏洞利用：SMB relay，EWS relay，PTT(PTC)，MS14-068，GPP，SPN利用

8.域凭证收集

9.后门技术（黄金票据/白银票据/Sid History/MOF）

图1

域控服务器：

内网IP：10.10.10.10

系统：windows server 2012

用户名：de1ay

web服务器：

模拟外网IP：192.168.10.129

内网IP：10.10.10.80

系统：Windows Server 2008

用户名：

域成员机：

内网IP：10.10.10.201

系统：windows 7

用户名：

攻击机：

模拟外网IP：192.168.10.130

系统：kali linux

其中，web服务器配置有两张网卡，一张模拟外网网卡，对外提供web服务，一张网卡连接内网。

知道了web服务器的外网IP，首先利用nmap进行端口及服务扫描。

扫描发现目标开启了以下端口：

图2

其中通过端口初步判断目标机存在的服务及可能存在的漏洞，如445端口开放就意味着存smb服务，存在smb服务就可能存在ms17-010/端口溢出漏洞。开放139端口，就存在Samba服务，就可能存在爆破/未授权访问/远程命令执行漏洞。开放1433端口，就存在mssql服务，可能存在爆破/注入/SA弱口令。开放3389端口，就存在远程桌面。开放7001端口就存在weblogic服务。

永恒之蓝介绍：
永恒之蓝（Eternal Blue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日， 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。

于是首先就利用445端口，进行永恒之蓝的漏洞检测：

图3

发现漏洞，尝试ms17-010利用模块（ms17010eternalblue）打一打：

图4

无法利用，选择ms17-010的命令执行模块（ms17010command）尝试是否能利用：

图5

发现没有开放管道，无法利用。

其次就是135端口，查看网上的资料发现，它或许存在弱口令，然而需要用到其他工具且它爆破的是主机的用户名与密码，那么就和3389端口的爆破相似，于是选择直接爆破3389端口。

利用hydra爆破3389端口，默认用户名为Administrator，没爆出来：

图6

后面用户名也用上小字典，没爆出来。

然后爆破1433用户名、密码也没爆出来。

访问7001端口，与它的服务器控制台，如下：

图7

7001端口对应的服务为weblogic，从github上下载漏洞扫描weblogicscan：

https://github.com/rabbitmask/WeblogicScan

对目标进行一键扫描，发现有如下漏洞：一个java反序列化漏洞

图8

访问如下地址，可以访问说明确实存在该漏洞：

图9

4.1、CVE-2019-2725漏洞利用

漏洞介绍:

4.1.1、msf漏洞利用

对发现的CVE-2019-2725漏洞，尝试利用msf相关模块（weblogicdeserializeasyncresponseservice）进行漏洞利用：

图10

利用失败了，查找网上是否有新的利用方式。

4.1.2、下载exp漏洞利用

利用方法：

1) 去https://www.exploit-db.com/exploits/46780下载exp：

图11

2) 用以下命令生成一个反弹shell的powershell脚本：

图12

3) 替换payload中的exploit变量为生成的ps1脚本内容。

4) 在msf中设置一个监听脚本后再用exp打目标，成功后能得到一个session：

图13

图14

图15

图16

获得meterpreter后，进行初步的信息收集

图17

由获取到的信息判断：

图18

图19

图20

通过查询的信息得知：

图21

图22

图23

由于已经扫描出网段10.10.10.80，于是添加路由，使得能够利用msfconsole模块扫描该网段内存活主机：

图24

利用arp_sweep进行内网存活主机探测：

扫描的网段似乎有误，尝试了多次只能扫到外网网段：

图25

利用portscan模块扫描却只扫到了10.10.10.80的，可能是路由添加、也有可能是端口开放问题：

图26

由于msf添加路由只是能够使得msf工具通过10.10.10.0段的流量，如果想要本地的工具，如nmap也能够扫描到该网段，则需要设置代理。

msf利用socks_proxy模块设置代理服务器：

图27

配置proxychains文件，执行命令：

将文件内容修改成如下：

图28

尝试用proxychains代理打开火狐浏览器访问10.10.10.80:7001发现可以打开，说明代理配置是正确的，路由添加也是正确的，那么就不知为何用msf模块扫不到10.10.10.0段主机：

图29

以上，利用proxychains模块配置好代理后，利用nmap进行扫描：

成功扫到10.10.10.10

图30

利用ICMP协议探测内网，依次对内网中的每个IP地址执行ping命令，可以快速找出内网中所有的存活主机。使用以下命令循环探测整个C段：

图31

扫描到两台域内主机：10.10.10.10、10.10.10.201
根据之前收集到的信息我们知道，10.10.10.10是域控的IP，主机名为DC。

1.1、对10.10.10.10

发现开放端口如下：53、135、445、139、3389、49167

图32

1.2、对10.10.10.201

发现开放端口如下：445、139、3389、135、49152

图33

1.3、端口利用

既然PC和DC都开放了445端口，自然少不了尝试利用永恒之蓝漏洞getshell：

对10.10.10.10：

利用失败：

图34

对10.10.10.201：

也利用失败了：

图35

永恒之蓝利用不了，只能尝试利用其他的方法了。

2.1、获取哈希

加载mimikatz模块：

图36

获取失败并导致了连接的崩溃：

图37

连接后再次尝试，成功抓取域控及成员机账号和密码：

图38

图39

图40

既然拿到域管的账号密码以及域控开放了3389端口，则可以尝试远程桌面连接域控，连接失败了：

图41

2.2、哈希传递

试试msf的哈希传递模块，可以获取域控的shell：

图42

并且是高权限system：

图43

因为有了之前的经验，且开放445端口，并且域管可以登录任意域成员机，直接尝试psexec哈希传递：

图44

利用失败了，开放了3389端口，那么尝试一下远程桌面连接：

proxychains rdesktop 10.10.10.201

图45

直接域控登录。显示该用户已登录，那么我们可以利用获取的域控权限创建域管用户：

图46

再次尝试远程桌面连接，成功登陆，并且是域管权限：

图47

至此，域中三台机子都能被掌控。

在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个

Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。

2.1、登陆域控，加载mimikatz模块，然后执行如下命令抓取krbtgt用户的Hash值并获取域sid：

使用msf kiwi模块获取hash失败，利用如下方法：

2.1.1、上传mimikatz.exe到web服务器上，在获得meterpreter的web服务器上执行：

图48

2.1.2、将mimikatz复制到域控DC的C盘的根目录下：

图49

接下来就可以到域控DC的C盘根目录下执行mimikatz.exe:

执行成功,成功获取到域的SID号以及krbtgt账户的哈希：

图50

2.2、接下来切换到普通域用户的WEB主机，用mimikatz生成名为ticket.test的TGT凭证，用户名为域管理员用户（administrator）：

图51

生成TGT 凭证成功，名为ticket.test,然后在mimikatz中将凭证ticket.test注入进去：

图52

查看当前会话中的票据：

图53

到此，注入成功。输入“exit”退出mimikatz，此时，就可以利用这台普通域用户的主机任意访问域控制器了，如下列出域控的C盘目录：

图54

我发现，由于是通过打weblogic服务拿到的session，而weblogic服务是由域管理员开启的，故获得的该会话权限本身就为域管（de1ay\administ ra tor）权限。

为了更加明确伪造黄金票据的效果，重新创建了hack普通域用户登陆，尝试访问域控DC的C盘目录，发现访问被拒绝：

图55

接下来就按照伪造黄金票据的过程，最后再次尝试，发现能够访问，成功伪造域管用户：

图56

以上，就是域环境靶场的渗透过程，从本次的域环境的渗透我们可以总结出大概的内网渗透思路：渗透内网，终极目标就是获取域控权限。从获取到内网的一台主机开始，首先就对该主机进行信息收集，可以由以下几个方面来进行信息的收集： 是否存在多个网段、是否存在域环境、查看服务/端口信息、查看当前用户权限。有域环境则想办法定位域控的IP，可以通过dump域用户的哈希甚至可能可以获取到域管的明文密码，利用hash传递进行横向渗透，拿下域控后，可以dump krbtgt用户的hash以及域的sid用以伪造黄金票据实现权限维持。

总的来说，搭建的域靶场环境较为理想，与真实的内网环境差别较大，三台域主机全部开放3389端口，也较为顺利的dump出域管的明文密码，十分顺利地就进行了主机的横向移动以及权限维持。