外围打点信息搜集通过各类东西和在线网站,对子域名停止搜集,并解析ip。发现主站存在CDN,利用fofa,搜刮网站title、js等关键信息和子域名解析的ip对应的C段,发现实在ip。3, 对实在ip的ip段停止扫描,发现一台机器存在Weblogic中间件,利用exp停止测试,发现胜利Getshell。Getshellhttp://xxx.xxx.xxx.xxx:9001/weblogicCVE-2017-10271Administrator权限,利用我们本身的免杀马胜利Getshell。
Getshell
内网渗入
权限维持有杀软,做完免杀之后,间接上线CS,停止历程迁徙。
写入注册表,做好权限维持,那里忘记截图了。
shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "dll" /t REG_SZ /d "rundll32 C:\Windows\Temp\log.dll start"信息搜集看了一下,当前存在域xxx,但不是域用户,也无法利用号令查询域情况,抓取不到密码。
当前不是域用户
那里利用工做组渗入手法,先拿下域内的机器然后再停止域渗入操做,那里本想上传fscan扫描内网,但在C:/windows/temp下发现有前辈上传的fscan和扫描记录,间隔时间两天,能够拿来一用。扫描成果如下,域内破绽还挺多的。
fscan
发现172.168.0.3(MAIN_FILESERVER)存在MS17010,该机器名暗示着那台机器可能是内网中重要的机器,利用MSF的模块停止攻击,发现胜利上线。
在172.168.0.3机器上,发现当前为域用户,能够利用号令查询域情况,mimikatz抓取明文密码和hash,并发现了域控帐户密码(太幸运了吧)。
xxx.COM\Administrator xxxxxx信息搜集成果如下:
明文密码和hash域用户域办理员域机器域内机器大要有70-80台摆布,属于一个小型的内网。域控机器172.168.0.1:SERVER,单域控,域内构造还比力简单。
各类密码搜集查看当前机器上安拆的法式,若是有阅读器,那么就能够搜集阅读器的密码,若是有安拆的数据库,也能够找数据库的设置装备摆设文件,读取帐户密码,总之,要对每一台机器停止认真地信息搜集。得到域办理员账户密码就能够停止密码喷洒东西,先利用frp反向代办署理停止隧道搭建。
横向渗入将kali代办署理进内网,扫描内网存活机器,利用域办理员帐户密码,对域内停止密码喷洒(crackmaPExec)。
crackmapexec
利用CS自带的psexec对其他机器停止横向渗入,部门机器无法上线,对不克不及间接CS上线的机器,利用impacket-wmiexec上线机器,然后上传beacon.exe施行直达上线。
无法上线的原因:1. 账号密码不合错误。2. 该账户密码在目的机器上停用。3. 存在杀软拦截横向渗入。域渗入利用impacket-wmiexec和域管帐户密码对域控停止攻击,发现胜利施行号令,但无法上传beacon.exe上线CS,判断该机器上存在杀软拦截beacon.exe,但不拦截横向渗入。域控机器:
域控机器
号令行注册表开启长途桌面,发现一个大大的TeamView。
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
长途桌面
AD域办事
到那里已经完成了渗入目的。
对域内部门重要机器停止截图:
MAIN_FILESERVER机器……陈迹清理清理日记和上传的webshell、木马和东西,那里没有截图,就放我的条记内容。
常见日记HTML应用法式日记文件:%systemroot%\system32\config\AppEvent.EVT;平安日记文件:%systemroot%\system32\config\SecEvent.EVT;系统日记文件:%systemroot%\system32\config\SysEvent.EVT;DNS日记默认位置:%sys temroot%\system32\config,默认文件大小512KBInternet信息办事FTP日记默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日记;Internet信息办事WWW日记默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日记;Scheduler办事日记默认位置:%sys temroot%\schedlgu.txt;以上日记在注册内外的键:应用法式日记,平安日记,系统日记,DNS办事器日记,它们那些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog有的办理员很可能将那些日记重定位。此中EVENTLOG下面有良多的子表,里面可查到以上日记的定位目次。Schedluler办事日记在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentwevtutil.exe撑持系统:Win7及以上。不撑持删除单条内容。获取日记分类列表:
wevtutil el >1.txt
日记分类列表
查看指定日记的详细内容:
wevtutil qe /f:text "windows powershell"
某日记详细内容
获取单个日记类此外统计信息:
wevtutil gli "windows powershell"
日记类别
删除单个日记类此外所有信息:
wevtutil cl "windows powershell"
删除某日记
攻击成果利用域管帐户密码对域内机器停止批量上线,部门被上线机器列表如下。
上线机器
拓扑图
总结外围打点,重视资产搜集,实在ip的寻找、攻击面的扩大,平常要对各类0day停止搜集,做好webshell的免杀,便利在项目中间接利用。内网渗入,重视对内网机器的信息搜集和机器定位,流量代办署理(有可能被杀,能够二次开发一些流量代办署理东西),做好木马的免杀和权限维持,要有一套本身的内网渗入办法。域渗入,对各类域渗入的攻击手法和东西利用要熟悉,要判断当前在域的构造,若是拿不下域控,能够测验考试对一些其余域内的重要办事器停止渗入,命运好间接就能拿到域管帐户密码,那么整个域就相当于间接拿下了。做好陈迹清理。跋文那只是一次比力简单的的内网渗入,在平常的靶场操练时,尽量不要利用Cobalt strike和MSF等内网渗入框架。如在项目中,在允许的情况下,能够利用(究竟结果效率比力高)。在停止过几次的实网的内网渗入后,我在后期的进修中会逐步的把重心放到免杀和东西的二次开发上,会开发一些本身的东西并开源。
来源收集,若有侵权,请联络删除
发表评论