内网渗透从敲门到入门

hacker4年前关于黑客接单348

  这是 酒仙桥六号部队 的第 33 篇文章。

  全文共计1491个字,预计阅读时长5分钟。

  前言

  各位老哥们,最近刚开始学内网安全,玩了一套红日安全的靶场,分享一个内网安全的基础文章,写得不好,不足之处还请多多指出。

  

  靶场介绍

  模拟外网网段 192.168.1.0

  模拟内网网段 192.168.52.0

  攻击机

  Windows10 IP:192.168.1.6

  kali linux IP:192.168.1.30

  web服务器(win7)

  外网IP:192.168.1.12

  内网IP:192.168.52.143

  域用户(winser2003)

  内网IP:192.168.52.141

  DC (winser2008)

  内网IP:192.168.52.138

  拓扑图

  

  拿web服务器

  nmap先看一下服务器开放的端口和服务。

  

  开放了80和3306端口,访问是个phpmystudy探针,包括绝对路径和一些php参数。

  

  访问网站看到是个yxcms,到网上去找一下这个cms有什么漏洞,发现漏洞还是挺多的,前台XSS、文件删除、文件写入,不过基本上需要进后台才能利用。

  访问后台地址:

  [http://192.168.1.12/yxcms/index.phpr=admin/index/login]

  尝试默认密码直接进了。

  

  

  不过应该是靶场的原因,这个cms还是比较多公开漏洞getshell的方式,后台模板功能直接写一句话到index.php中。

  

  一键连上。

  

  拿到webshell后,收集当前信息。

  

  直接就是一个管理员了,正常环境一般还需要提权操作,通过系统补丁情况来使用msf模块提权。

  既然是管理员就直接添加用户了。

  

  查看端口,发现没开3389。

  

  改注册表键值开启3389。

  

  成功开启3389,但mstsc连不上,可能是被防火墙拦了,尝试关闭防火墙(动静比较大,建议使用命令配置防火墙策略允许3389端口放行)。

  

  成功登陆上web服务器。

  进入内网

  

  进行内网信息收集,IP信息,得知外网IP 192.168.1.12和内网IP192.168.52.143,已经存在AD域,网段为192.168.52.0。

  

  当前登录域及登录用户信息net config Workstation。

  

  判断主域 net time /domain,主域一般用作时间服务器,这台明显不是。

  

  查看域成员 net view /domain:god

  

  收集一些其他的内网信息......

  为了方便,用msfvenom生成个powershell反弹到msf。

  

  要抓取服务器密码hash权限不够,需要提权,getsystem失败,(也不建议用,动静比较大),用msf自带的补丁检测看看有没有能利用的漏洞。

  

  发现好像都不适用,用Windows ExploitSuggester再查了一下,发现可以使用ms16-014,并成功提到system权限。

  

  这边拿到的是一个shell,把它转成meterpreter,即session 4。

  

  mimikatz抓取用户hash,但没抓出明文密码。

  

  

  在当前目录下传个mimikatz。

  

  用debug模式成功跑出管理员密码。

  

  

  并且得到了域控的账户密码 administrator/hongrisec@2020。

  横向渗透

  刚才说内网网段是192.168.52.0,配置静态路由。

  

  然后用netbios协议扫描域网段,得到IP为192.168.52.138、192.168.52.141两台存活主机。

  

  对两台主机扫一下看看有没有ms17-010。

  

  由于永恒之蓝打Windows server 2003容易蓝屏,网上查了一些姿势。

  使用ms17_010_command模块执行系统命令,添加用户至管理员。再配合用户名密码使用ms17_010_psexec模块。

  

  拿到的是system权限,添加用户test2并加到管理员组。

  

  

  执行成功,但是没有拿到shell,不知道什么原因。

  

  那就直接rdp登录算了,配置socks4a *** 。

  

  然后用proxychains rdesktop 登录。

  这边还用了ms17_010_command开了3389端口:

  

  msfvenom -p windows/meterpreter/bind_tcp

  -e x86/shikata_ga_nai -i 5LPORT=6666 -f exe

  用msfvenom生成一个正向马传进去(因为无法访问外网,反向出不来),msf正向连接。

  

  这样获得域用户,2003直接getsystem,最终拿到域用户192.168.52.141的system权限。

  

  跑出administrator用户密码也为hongrisec@2020。

  获得域控

  域控已经知道IP为192.168.52.138,且ms17-010的补丁未打,这边也和域用户一样获得shell。

  通过 *** 上传msf马,正向连接s:

  

  由于已经知道了DC的账户密码,看了网上的教程,还可以使用wmiexec来命令执行,参考:[http://www.91ri.org/12908.html]

  进入刚才的web服务器shell,把wmiexec.vbs传上去。

  用DC的账户密码执行命令成功。

  

  最终获得所有权限,后续还有权限维持和清除痕迹,由于时间有限没有继续。

  后续再进行可以尝试。

  

  总结

  最近也是刚接触内网渗透,很多知识点掌握的不是很好,参考了网上很多的资料。

  通过整个环境的搭建和查阅资料,对内网有了一个简单的了解,学到了很多,有不足之处还请多多指出。

  

相关文章

DSMM之数据采集全过程安全性

DSMM之数据采集全过程安全性

一、情况 在DSMM数据安全能力质量指标实体模型小结与沟通交流一文中详细介绍了DSMM对于数据安全不一样生命期明确提出了不一样的安全性规定,数据安全生命期分成收集、传送、储存、解决、互换、消毁。今日...

盗qq号的黑客是假(专业盗号的黑客)

盗qq号的黑客是假(专业盗号的黑客)

本文导读目录: 1、为什么有盗QQ号的? 2、为什么有人总是盗别人的QQ号?有用吗? 3、qq盗号是真的吗 4、qq账号被盗是怎么回事 5、问,为什么有人会盗我的QQ号呢?他想干什么呢...

找先办后付的黑客qq群

问问他一些基础的常识试试嘛,比如:“你知道Helloworld是什么吗?”并要求他5秒之内答以防他搜索诸如此类的问题还有很多啊,又比如:“你用什么操作。 真的黑客不会先收钱的,他发你的历史密码,有可能...

十元定位别人手机位置是真的吗?十块钱定位别人手机

十元定位别人手机位置是真的吗?十块钱定位别人手机

有朋友在找手机号定位十元一次的服务,实际上这是属于违法的,不光帮别人定位的商家是违法的,主动去定位别人的位置本身也是违法的。 不少黑客产业链里就有这样的信息,出售个人信息,手机号定位,...

香槟色泰迪好看吗(香槟色泰迪图片)

香槟色泰迪好看吗(香槟色泰迪图片)

香槟色泰迪犬,泰迪的真名叫贵宾犬,但鉴于大家说泰迪说习惯了,我们就说泰迪吧 黑色泰迪犬 巧克力色泰迪犬 白色泰迪犬 灰色泰迪犬 枣红色泰迪犬 花色泰迪犬,200...

怎么查看聊天记录_为您调查真相获取证据 微信查

提起阿D、NBSI、HDSI这些注入工具,相信大家都或多或少的接触过,这些工具可以帮我们快速的拿下一个有注入漏洞的站点。但如果不懂注入的原理,即便使用这些工具进入无数个网站,但最终还是一个工具黑客。所...