✋毫🧊有🧊 一晚上睡不着爬起来学内网渗透,因为感觉你👱🏻‍这方面的经验多少是欠缺的

还是大一大二太有素质了。

靶场环境

ATT&CK红队评估二套靶场

靶场配置的时候有几个很死🐴的地方

WEB虚拟机密码不对需要回退到快照三

如果虚拟机🐶叫说回退不到,那就把前两个快照删了

使用administrator账户,第一次进入(密码为空)的时候需要更换密码为默认密码,进入WEB虚拟机后还要管理员权限进入对应文件夹。

C:\Oracle\Middleware\user_projects\domains\base_domain,以管理员权限运行startweblogic服务

死🐴的地方还有WEB虚拟机开始不出网,后面将WEB虚拟机连接外网的ip改到虚拟机网段内后才好

域控DC服务器

内网ip:10.10.10.10

系统:Windows Server 2012 (64位)

用户名:de1ay

WEB服务器

外网ip:192.168.25.140

内网ip:10.10.10.80

系统:Windows Server 2008(64位)

用户名:

PC域内主机

内网ip:10.10.10.201

系统:Windows 7(32位)

用户名:

攻击者VPS

外网ip:192.168.25.131

系统:Linux

WEB服务器有两个网卡,一个网卡连接外网,对外提供web服务,另一个网卡连接内网。域成员Windows 7和域控制器位于内网,域成员主机可以没有公网ip但能上网,域控制器只能与内网连通,不能与外网通信。

外网渗透

已知Web服务器公网ip,所以先进行一个扫

扫到了7001端口 这个端口运行着Weblogic

在扫描下端口7001路径

扫描到有个console(此处还是上一次做的时候的截图 所以后面是134 你👱🏻‍懒得重新搞)

![ZN7Y~2_E__@IQDBS_ERT`IV.png](https://s2.loli.net/2023/03/21/XTPkpEZ5afw3i9H.png)

在浏览器上打开可以看到weblogic版本为10.3.6.0

用Weblogic扫描工具扫描到一个java反序列化漏洞CVE-2019-2725

![RXG`EFP__BVWB2TM07_5WC3.png](https://s2.loli.net/2023/03/21/3AfdUwK9HpzLTjy.png)

用java反序列化测试工具搞一搞呢(java坑死你👱🏻‍了 换了十几个版本才勉强能用)

试试whoami呢

上传个冰蝎🐴呢(这里的路径可以参考这个链接)

用冰蝎成功连接

内网渗透

查看本机ip等相关信息 可以看到存在一个域

用冰蝎传个cs生成的🐴

在冰蝎启动上传的exe

Cobalt Strike上靶机上线

查看防火墙状态呢

# windows server 2003及以下版本:
netsh firewall show config
# window server 2003以上版本:
netsh advfirewall show allprofiles state

关闭防火墙需要管理员权限,但这里的user就是administrator

所以可以直接关闭

发现域de1ay.com

查看当前域内机器和域控呢

net group "domain computers" /domain #查看当前域内机器
net group "domain controllers" /domain #查看域控
net group "domain admins" /domain #查看域管理员用户

可以发现

通过ping的方式可以发现PC和DC的ip

hashdump获取凭证信息

再利用logonpasswords抓取到密码

可以尝试用这个密码创一创其他主机

常见相关指令

whoami /all #获取域 SID
tasklist /svc #查看进程列表
wmic process list brief #查看进程列表
wmic startup get command,caption #查询启动程序信息
schtasks /query /fo LIST /v #查询计划任务
net user #查询本机用户列表
net user /domain #查询域内用户
net localgroup #查询本机用户组成员列表
net localgruop administrators #查询本机管理员组成员列表
`query user
net share #查询本机共享列表
route print #查询路由信息
arp -a #查询arp缓存表
# 查询 RDP 端口 0xd3d 即为 3389 端口
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp" /V PortNumber

横向移动

用冰蝎给WEB上传fscan,发现冰蝎好像传不上去大文件,坑死你👱🏻‍了,用CS传,传了好几段属于是分尸了,这里还要注意目标系统是32位的还是64位

扫描DC端口

发现有ms17-010永恒之蓝


可以发现端口445是开启的,因此尝试一下域横向移动,又因为得到了管理员密码,所以可以利用SMB beacon横向移动。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效

psexec横向移动的条件
对方主机开启了 admin$ 共享和445端口,如果关闭了admin$共享,会提示:找不到网络名
对方未开启防火墙
如果是工作组环境,则必须使用administrator用户连接(因为要在目标主机上面创建并启动服务),使用其他账号(包括管理员组中的非administrator用户)登录都会提示访问拒绝访问。
如果是域环境,即可用普通域用户连接也可以用域管理员用户连接。连接普通域主机可以用普通域用户,连接域控只能用域管理员账户。(你👱🏻‍偷的别人的 自己写不明白)

先用spawn派生出来一个会话,在已有的 Beacon 上右键点击 Spawn(生成会话 / 派生),选择name为ceshi的payload,然后点击choose,会反弹一个子会话,在 external 的 ip 后面会有一个∞∞样式的小图标

在listeners处创建一个payload

在view->targets可以看到存活的主机

在目标主机图标上右击,jump->psexec64或者psexec,选择管理员账号,再填写listener和session信息,直接选择launch成功,成功获取域控权限。