首页 网络安全 渗透测试 查看内容

记一次内网环境渗透(上)

2022-11-27 13:03 2590 0

摘要: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习目的,如果列出的技术用于其他任何目标 ...
关键词: redteam 委派 使用 监听器 10.10 机器 约束 进行 然后 这里

注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习目的,如果列出的技术用于其他任何目标,概不负责。

靶场环境配置

网络拓扑图

整个环境共四台目标机,分别处在三层内网环境当中。

  • DMZ区环境IP段为 192.168.254.1/24

DMZ区的靶机拥有两个网卡,一个用来对外提供服务,一个用来连通第二次网络。

  • 第二层网络环境IP段为 10.10.20.1/24

第二层网络的靶机同样有两个网卡,一个连通第二层网络,一个连通第三层网络

  • 第三层网络环境IP段为 10.10.10.1/24

第三层网络的靶机只有一张网卡,连通第三层网络,包含域控机器与域内服务器

DMZ区域的主机可以连通外网,第二层与第三层的均不能与外网连接

由于网络环境问题,192.168.254段的ip可能会有变化。

靶机信息

域控:Windows Server 2008 + IIS + Exchange 2013 邮件服务。

目录还原密码:redteam!@#45
主机名:owa
域管理员:administrator:
QWEasd123
Admin12345

域内服务器 Mssql:Windows Server 2008 + SQL Server 2008 (被配置了非约束委派)

主机名:sqlserver-2008
本地管理员:Administrator:Admin12345
域账户:redteam\sqlserver:Server12345 (被配置了约束委派)
Mssql:sa:sa

域内个人PC:Windows 7

主机名:work-7
本地管理员:john:admin!@#45
域账户:redteam\saul:admin!@#45

单机服务器:Windows server r2 + weblogic

主机名:weblogic
本地管理员:Administrator:Admin12345
weblogic :weblogic:weblogic123(访问 http://ip:7001)
weblogic 安装目录:C:\Oracle\Middleware\Oracle_Home\user_projects>\domains\base_domain

重启后需要手动开启服务

其他域用户:

域服务账户:redteam\sqlserver:Server12345 (被配置了约束委派)
邮件用户:redteam\mail:admin!@#45
加域账户:redteam\adduser:Add12345
redteam\saulgoodman:Saul12345 (被配置了非约束委派)
redteam\gu:Gu12345
redteam\apt404:Apt12345

漏洞利用

该靶场存在很多漏洞点都可以去尝试学习或利用

  • 存在 GPP 漏洞
  • 存在 MS14-068
  • 存在 CVE-2020-1472
  • Exchange 各种漏洞都可尝试
  • 可尝试非约束委派
  • 可尝试约束委派
  • 存在 CVE-2019-1388
  • 存在 CVE-2019-0708

… 还有很多漏洞都可尝试

单机服务器

假定现在我们已经知道目标IP为:192.168.254.112

信息收集

首先利用NMAP对靶标进行简易的扫描

nmap -p- -Pn -T4 192.168.254.112 -A

根据扫描到的信息发现目标开放了7001端口,存在weblogic服务,

使用weblogicscan进行扫描看看是否存在漏洞,

看起来还是存在很多漏洞的。

GetShell

使用weblogic-GUI进行注入,发现是administrator权限,直接注入内存马,冰蝎上线。

域内个人PC机器

拿下了DMZ区域的机器后,除了权限维持和权限提升,对于横向渗透通常分为两个方面。

判断机器是否为多网卡机器,然后扫描其他网段,尝试发现更多存在漏洞的机器。

尽量收集机器上的敏感信息,比如敏感内部文件、账号密码本等,帮助后面快速突破防线。

由于拿下的机器已经是administrator权限,所以可以直接进行信息收集。

先查看一下进程里面是否存在杀软:

tasklist /SVC

发现为双网卡,

这里我直接上线CS,通过冰蝎上传exe后门并执行,

上线后尝试抓一下密码,dump一下hash,

导出密码hash:

hashdump

received password hashes:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

尝试去在线平台进行解密

拿到Administrator的密码为Admin12345

查看是否在域内

net config workstation//查看计算机名、全名、用户名、系统版本、工作站、域、登录域。

一般时间服务器为主域控制器

net time /domain//查看域控当前时间。

机器并不在域内,由于是双网卡,这里利用fscan进行网段扫描。

上传了fscan到 C:\windows\temp\ 的目录下

然后这里通过CS插件直接运行fscan,

对另一张网卡的C段进行扫描,

扫描结果如下

这里通过这个靶场我们正好来学习CS和MSF的联动。

方法一:CS移交会话到MSF

当前情况主机上线在CS上,这里我们将CS的会话交互给MSF。

首先在CS上创建一个监听器,CS的监听器分为两种类型:beacon和foreign。

beacon为CS内置监听器,,当我们在目标系统执行payload,会弹回一个beacon的shell给CS

foreign主要是提供给外部使用的一些监听器,比如想要利用CS派生一个meterpreter的shell,来进行后续的内网渗透,这时就应该使用外部监听器。

声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部