这是 酒仙桥六号部队 的第 33 篇文章。
全文共计1491个字,预计阅读时长5分钟。
前言
各位老哥们,最近刚开始学内网安全,玩了一套红日安全的靶场,分享一个内网安全的基础文章,写得不好,不足之处还请多多指出。
![图片[1]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104796.png)
靶场介绍
模拟外网网段 192.168.1.0
模拟内网网段 192.168.52.0
攻击机
Windows10 IP:192.168.1.6
kali linux IP:192.168.1.30
web服务器(win7)
外网IP:192.168.1.12
内网IP:192.168.52.143
域用户(winser2003)
内网IP:192.168.52.141
DC (winser2008)
内网IP:192.168.52.138
拓扑图
![图片[2]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104797.png)
拿web服务器
nmap先看一下服务器开放的端口和服务。
![图片[3]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104798.png)
开放了80和3306端口,访问是个phpmystudy探针,包括绝对路径和一些php参数。
![图片[4]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104799.png)
访问网站看到是个yxcms,到网上去找一下这个cms有什么漏洞,发现漏洞还是挺多的,前台XSS、文件删除、文件写入,不过基本上需要进后台才能利用。
访问后台地址:
[http://192.168.1.12/yxcms/index.php?r=admin/index/login]
尝试默认密码直接进了。
![图片[5]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104801.png)
![图片[6]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048011.png)
不过应该是靶场的原因,这个cms还是比较多公开漏洞getshell的方式,后台模板功能直接写一句话到index.php中。
![图片[7]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104802.png)
一键连上。
![图片[8]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104804.png)
拿到webshell后,收集当前信息。
![图片[9]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048041.png)
直接就是一个管理员了,正常环境一般还需要提权操作,通过系统补丁情况来使用msf模块提权。
既然是管理员就直接添加用户了。
![图片[10]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104805.png)
查看端口,发现没开3389。
![图片[11]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048051.png)
改注册表键值开启3389。
![图片[12]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104806.png)
成功开启3389,但mstsc连不上,可能是被防火墙拦了,尝试关闭防火墙(动静比较大,建议使用命令配置防火墙策略允许3389端口放行)。
![图片[13]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048061.png)
成功登陆上web服务器。
进入内网
![图片[14]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048062.png)
进行内网信息收集,IP信息,得知外网IP 192.168.1.12和内网IP192.168.52.143,已经存在AD域,网段为192.168.52.0。
![图片[15]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104807.png)
当前登录域及登录用户信息net config Workstation。
![图片[16]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104808.png)
判断主域 net time /domain,主域一般用作时间服务器,这台明显不是。
![图片[17]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048081.png)
查看域成员 net view /domain:god
![图片[18]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104809.png)
收集一些其他的内网信息……
为了方便,用msfvenom生成个powershell反弹到msf。
![图片[19]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048091.png)
要抓取服务器密码hash权限不够,需要提权,getsystem失败,(也不建议用,动静比较大),用msf自带的补丁检测看看有没有能利用的漏洞。
![图片[20]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104810.png)
发现好像都不适用,用Windows ExploitSuggester再查了一下,发现可以使用ms16-014,并成功提到system权限。
![图片[21]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104811.png)
这边拿到的是一个shell,把它转成meterpreter,即session 4。
![图片[22]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104812.png)
mimikatz抓取用户hash,但没抓出明文密码。
![图片[23]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104813.png)
![图片[24]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104814.png)
在当前目录下传个mimikatz。
![图片[25]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104816.png)
用debug模式成功跑出管理员密码。
![图片[26]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048161.png)
![图片[27]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104818.png)
并且得到了域控的账户密码 administrator/hongrisec@2020。
横向渗透
刚才说内网网段是192.168.52.0,配置静态路由。
![图片[28]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104820.png)
然后用netbios协议扫描域网段,得到IP为192.168.52.138、192.168.52.141两台存活主机。
![图片[29]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104821.png)
对两台主机扫一下看看有没有ms17-010。
![图片[30]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104822.png)
由于永恒之蓝打Windows server 2003容易蓝屏,网上查了一些姿势。
使用ms17_010_command模块执行系统命令,添加用户至管理员。再配合用户名密码使用ms17_010_psexec模块。
![图片[31]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104823.png)
拿到的是system权限,添加用户test2并加到管理员组。
![图片[32]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104825.png)
![图片[33]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104827.png)
执行成功,但是没有拿到shell,不知道什么原因。
![图片[34]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104829.png)
那就直接rdp登录算了,配置socks4a代理。
![图片[35]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104831.png)
然后用proxychains rdesktop 登录。
这边还用了ms17_010_command开了3389端口:
![图片[36]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104832.png)
msfvenom -p windows/meterpreter/bind_tcp
-e x86/shikata_ga_nai -i 5LPORT=6666 -f exe
用msfvenom生成一个正向马传进去(因为无法访问外网,反向出不来),msf正向连接。
![图片[37]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104833.png)
这样获得域用户,2003直接getsystem,最终拿到域用户192.168.52.141的system权限。
![图片[38]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104834.png)
跑出administrator用户密码也为hongrisec@2020。
获得域控
域控已经知道IP为192.168.52.138,且ms17-010的补丁未打,这边也和域用户一样获得shell。
通过代理上传msf马,正向连接s:
![图片[39]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104835.png)
由于已经知道了DC的账户密码,看了网上的教程,还可以使用wmiexec来命令执行,参考:[http://www.91ri.org/12908.html]
进入刚才的web服务器shell,把wmiexec.vbs传上去。
用DC的账户密码执行命令成功。
![图片[40]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-15991048351.png)
最终获得所有权限,后续还有权限维持和清除痕迹,由于时间有限没有继续。
后续再进行可以尝试。
![图片[41]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104837.png)
总结
最近也是刚接触内网渗透,很多知识点掌握的不是很好,参考了网上很多的资料。
通过整个环境的搭建和查阅资料,对内网有了一个简单的了解,学到了很多,有不足之处还请多多指出。
![图片[42]-内网渗透从敲门到入门(内网渗透的流程)-Pikachu Hacker](https://blog.x8s.pw/proxy.php?url=https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-140298-1599104838.png)
本文作者:酒仙桥六号部队
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/140298.html
暂无评论内容