0x00 前言
本次渗透没有什么骚操作 甚至也没有什么亮眼的地方 都是稳扎稳打来的 和表哥们一起复习一下常规思路 各位表哥别喷就好
大四考研狗本来就已经复习不动了 有一天忽然 1572 表哥发来一条 PHP 的 shell, 但是没有执行权限, 于是换 aspx 马子, 提权之后手欠发现有内网, 于是就复习了一下
0x01 shell 初探
刚拿到手时还不知道有域 (WORKSTATIONS), 系统是 03x86 的, 顺手就秒了 system 权限上线到了我的 c2 上. 上线有些奇怪, 直接使用白名单上线不了, msf 啥的都不行, 但是看进程又确确实实存在, 遂怀疑被拦截了 stage 上线二阶段 dll 注入, 于是使用了 stageless payload 但依旧上不了线, 着实想不明白, 后来用的 csc 的 c# 白名单才上线成功, 此处未详细思考.
0x02 初见内网
上线之后可以看到基本的信息了
直达内网 net view 看了一眼 发现有工作组
发现自身内网所在网段和 cs 上面显示的内网网段不一样 眉头一皱发现事情并不简单 好吧事后也没再回去关注了 有时候再看看 不过仿佛就只有这一台机器 说不定就是个虚拟机啥的?
于是看一眼 ip 地址
另附跳板机 systeminfo 部分信息
因为菜所以做事小心谨慎, 还是偷偷地 ping 一下 发现 WORKSTATIONS 里面的机器都是通的. 好了心想既然这台机器是 03, 那么肯定还有若干的 03 大致也就猜测了一下机器主要是 03+08, 于是乎 17010(东南亚的机器就是乖还有这么多的 17010)
cs 部署 s4a 隧道做代理 准备 msf17010 和方便后续扫描啥的
很贴心的 msf 代理命令
于是上 msf 开扫
扫完的结果整理出来 果然是有大量的 03 系统 然后由于 03 和 08 不是同一个 exp 遂整理成这样
然后用 msf 带的 17010 开干 这里不贴图了 因为 msf 一个没搞定 03 和 08 都不行
好了 msf 不行我们还有 gui 的 虽然说也是调用 nsa 工具包.
找 2129 讨了一份 让我虚拟机用 然而一不小心点开了 本机火绒报毒永恒之蓝 那我就继续保留侥幸心理, 一来没说后门类型病毒, 二来, mmp 点都点了
不过可能还是有毒 有测过的大哥们麻烦告诉我一声~
啊对了 还得要配置一下 proxifier
基本上就是要改一下代理服务器和代理规则 cs 用的是 s4a
这样就好了 地址填写你的 c2(也就是你 cs 的地址) 端口就是那个前图代理 msf 的图里的端口
然后再改一下规则 本来以为改一下 gui 本身就行了 还是忘了 nsa 里面的 exe 于是全部加上
这样就完事了, 然后我们就能代理进去了 然后就能开干了
在此之前 我想到跳板机的外网上线困难 所以目测内网全部断外网了, 于是还得用 msf 生成一下 bind 型 payload 准备正向连接 此处贪了 用的是 meterpreter 的 payload 事实上如果用 meterpreter 这种 payload 会有风险 毕竟会偏大一些 执行成功率也就低一下 不过功能也就更多了 可以直接用 mimikatz 啊之类的 虽然个人还是建议 先用普通的 shell 反正 shell 型 payload 可以转 meterpreter 型, 这些都好说 就是提醒一下各位表哥
行了分别生成两个 dll x86 和 x64 都要 分别设置两个端口 其实一个端口也行 小心为上嘛 麻烦点也无所谓 对了 我记得应该可以直接选架构 就是相当于 x86 的 shellcode 放入 x64 的 dll 里面 这样可以更方便点 还是那句话 麻烦点无所谓
准备好之后就真的能开打了
一阵 exp 过后 发现把 msf 扫出来带漏洞的 03 服务器全部打上了 bind 了 然而此时发现有重复的机器 就是有些机器有好几个 ip 所以我在最初那个图上做了记录 表明一下哪些陌生的 ip 其实已经拿到了 附一张打上和没打的图
路径默认就好
此时看看我们手里的地盘
然后别的不干 全部上 mimikatz 读密码和 hash 然后再整理 就发现了几个高频的密码 还都是管理员 此时我们依旧还是在小内网里面 然后看到了几个高频的密码和用户名后来也证明是域管理员 而且还发现 hulk 有两个 hash 但只跑出来了一个明文密码
明文不贴啦
然后把剩下的 08 服务器兄弟们 用 ipc$ 和 wmic 跑起来 差不多上线了 5 台机器吧 再次读密码 发现 没什么多余的信息了 不过至此 这个小内网基本算是拿下了
0x03 峰回路转
当我还在愉快地看看有没有多余的信息的时候 忽然发现 有一台服务器不大对劲 查看进程的时候发现用户名前面还挺牛逼的加我原本 webshell 的域名了
再看看这计算机名 exchange 一定不简单
到此基本确定这台机器在域中了 然后也基本确定这个 hulk 就是域管了 然后接着搜集信息
既然找到了三个域控的地址 干不就完事了 反正我们有域管密码 直接明文 net use 然后 gg 了 我在这儿懵逼了两个多小时吧 在想要不要换思路 然后 就忽然想起来不是有两个 hash 么 然后尝试了一下另外一个 hash 直接就秒了域控了 至此就基本告一段落了
拿下来之后心想看看有多少个机器 dsquery computer -limit 0 看了一眼 我傻了
0x04 总结
总的来说本次渗透稳扎稳打 思路比较常规 其中还有一些挺有意思的小细节忘了 考研狗水上一贴 算是国庆活动没赶上的小补偿吧 祝自己考研顺利 也祝大家事事如意~
注: 没有作者授权不得转载, 感谢 gh0sTeR 大表哥的文章!!
文章持续更新!!!
来源: https://www.cnblogs.com/Azenga/p/11981260.html