从外到内，攻击路径思路清晰 攻防比赛彻夜不眠

tna

阅读须知

文章仅供参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

背景

在所有的攻防演练中，我一直秉持着一条简单的信念——准备充分才能功成。因此，当清晨我踏入客户现场，看到大佬一脸大笑，我心中了然：这场战役，我们攻击队已经打下了必胜的基础。

虽然大佬每句话都带着一丝嫉妒的味道，但他的能力却是无可争议的——他能够理性地分析形势，果断地找到目标，掌控全局。

大佬向我们指明了哪些目标易攻克，哪些又是硬骨头。我们的任务是集中火力攻击那些易受攻击的目标，获取OA、邮箱等关键系统的权限。随后，他还慷慨地提供了一个域前置的免杀“马儿”和代理池。

听完战术指导，我们信心百倍。废话不多，立即行动起来！这是一场攻守两端的较量，而我们早已做好了全面准备。

对抗开始

检测到了一批子域名。为了追求技术与美学的完美融合，我将这些子域名导入工具里面，让它们如同一幅清晰而优雅的画卷般展现在我的眼前：


这样一来，视觉效果确实舒服多了：


经过识别后，发现可攻击的目标包括Web系统后台、数据库以及一些中间件。对Struts2、Java、Shiro等进行了测试，但均未成功利用。


在批量测试数据库时，发现了一个弱口令。果断登录进去，仔细查看了一下，发现数据量不大，且没有可用的信息，很可能只是一个测试站点。尝试进行提权操作也未成功，于是决定放弃。



在测试后台弱口令时，发现没有验证码的限制，于是决定尝试使用Top100密码进行爆破攻击。





虽然有一些进展，但仍然没有找到可突破的关键点。



在这个时候，我瞥了一眼 Fofa 的浏览器插件，发现了一个旁站上有一个OA系统！



众所周知，只需在 URL 后面加上 "admin.do"，就可以进入管理员登录页面。一旦找到了这个系统，当然第一时间就是向大佬汇报。




大佬果然名不虚传，没过多久，他就发来了一串神秘代码。我领会其含义，向他投去了一道感激的目光。

将大佬给的神秘代码输入后，终于成功开启了一台 Linux 的 root 权限 shell。



过了一小会儿，大佬又发来了管理后台的密码。在管理后台中，我发现了邮箱的配置。虽然密码是加密的，但问题不大。




我按下 F12 键，通过查看前端页面的 value 参数，成功获取了明文密码。随后，我尝试登录邮箱服务器，结果发现登录成功了。



大佬一言九鼎，决定立即行动。他转头写好了一封邮件，内容让我直呼内行！随后，不断传来的主机上线提示音像是子夜的风声，清脆悦耳，一切都如此美好。

眼见主机不断上线，我们保持冷静，让子弹再多飞一会儿。在去除重复的情况下，我们发现总共有6台主机，并且其中还包括一台运行着 Windows 的服务器。我们分配了任务，每人负责几个 shell，共同发起对这个内网的攻击。



通过 Dumphash 查看了内存信息，找到了几组明文的账号密码，并且确认这些账号密码是存在于域环境中的。我立即记录了这些信息，以备后续使用。

接着，通过执行命令 "net time /domain" 查看，确认了确实存在域环境。



接下来，我使用 nslookup 命令解析了该域名，发现解析出了多个 IP 地址，这表明可能存在多个主备域。



我立即使用 nmap 工具对这些主机的 389 端口进行了扫描，结果显示其中有一些主机确实是域控主机。找到了域控主机后，情况就简单多了，我们可以尝试直接攻击域控了。



早上就先到这里，现在正值电脑使用的高峰期，因此很多操作不便立即进行。我决定先设置计划任务，确保权限能够持续，然后简单地收集一些信息。

在操作过程中，有两台主机掉线了，但又上线了几台看起来像是沙箱的主机。很可能是被发现了，所以他们把样本拿去检测了。

旗开得胜

等到了休息的时间，我们开始正式着手工作。我上传了 fscan 工具，并对 IP 段进行了探测。

登录了 Windows 服务器后，浏览了一下页面，发现他们正在进行项目的迭代升级。根据邮箱里的内容判断，这个服务器很可能是由开发经理使用的。

在邮箱里还找到了一些他们内部使用的默认密码，这些信息都是我们可以尝试利用的。



接着，我注意到右下角有一个内部通讯软件。里面包含了员工的姓名、性别、部门、IP 等信息。实际上，这相当于拿到了内部通讯录。我本想再次尝试进行钓鱼攻击，不过大佬却说，虽然可以，但没必要。




显而易见，利用域控漏洞的方式为上策。因此，我们的下一步任务是继续让他们负责横向移动。此时，大佬已经利用现有的密码，拿到了20多台 Windows 和 Linux 的主机权限，权限足够多了，就不怕掉线了。



你的思路非常清晰，利用 CVE-2020-1472 NetLogon 特权提升漏洞确实是一个高效的方式。该漏洞不要求当前计算机在域内，只要能访问到目标域控并且知道域控主机名和域控 IP 即可利用。

利用该漏洞可以重置域控的机器密码，然后使用空密码即可登录域控。但是非常重要的一点是要记得还原密码，否则如果存储在域中的凭证与本地注册表中的凭证不一致，可能会导致目标脱离域。

通过使用相应的 PoC，对主备域控进行漏洞验证，经过测试了10多个域控之后，终于测试到有一台域控验证成功了！这是振奋人心的绿色！

1. python3poc.py 域控主机名域控ip

复制代码

在验证成功后，使用下面的脚本来清空域控的机器凭证：

1. python3 poc.py 域控主机名 域控IP

复制代码

这个脚本将会执行相应的操作，清空目标域控的机器凭证。



使用空凭证查看域内账号密码，我们发现了一个名为 krbtgt 的账号，它具有生成票据的权限。不过在这种情况下，我们并不需要使用它，因为首先出现的是一个 SID 为 500 的账号，这很可能是域控管理员账号。接着是密码的哈希值，我们可以尝试解密，如果能够直接解出明文密码，那么我们就可以直接登录；如果无法解密，则可以使用哈希值连接。

实际上，域内的账号数量实在太多了。继续往下翻，我们可以看到已经被清空的机器账号，其主机名为 $，密码哈希值已经变成了 31d6cfe0d16ae931b73c59d7e0c089c0（空密码）。

为了进一步操作，我们可以使用以下命令：

1. python3 poc.py 域名/域控主机名\$@域控ip-just-dc -no-pass

复制代码

这个命令将以空密码的方式尝试连接域控，并检索相关信息。



恭喜你成功拿到了域管理员账号和哈希值！现在可以立即登录到域控了。你可以使用以下命令利用 WMIExec 进行连接：

1. python3 wmiexec.py -hashes xxx:xxx 域名/管理员用户名@域控ip

复制代码

通过这个命令，你将能够成功连接到域控，掌握更多的权限，继续进行后续的操作。



使用 PowerShell 上载一个 C＃的马，可以通过以下命令获取域控在本地注册表中保存的原始主机账号密码：

1. <p>regsave HKLM\SYSTEM system.save</p><p>regsave HKLM\SAM sam.save</p><p>regsave HKLM\SECURITY security.save</p>

复制代码

然后，你可以使用以下命令来使用脚本还原主机密码：

1. python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

复制代码

通过这个过程，你将得到 $MACHINE 的哈希值。

1. python3reinstall_original_pw.py 域控主机名域控ip$MACHINEhash

复制代码

在此阶段，漏洞利用已完成。接下来，在cs上进行hashdump以获取密码，利用这些密码登录到域控制器，从而可以查看域内所有用户和终端服务器。接下来的任务就是收集各种信息和数据。

任务完成得非常出色！收工了！




攻击路径总结

最终，我们来梳理一下攻击路径。首先，利用OA漏洞获取邮箱账号密码；然后通过钓鱼攻击获取内网域终端访问权限；接着，定位域控制器，使用CVE-2020-1472的POC验证域控存在漏洞；随后，重置域控制器密码，获取域控制器命令执行权限，上线Cobalt Strike；最后，还原机器密码，读取域控制器内存中的明文密码，成功登录域控制器。

在不到一天的时间内，我们从外到内，这条攻击路径思路清晰，执行效率也得到了提升。

让我们珍惜那些可以为了攻防比赛彻夜不眠、与小伙伴协同奋斗的时光吧，那是为了自己而努力绽放的时光，虽然短暂，却是美好的。