皇冠体育寻求亚洲战略合作伙伴,皇冠代理招募中,皇冠平台开放会员注册、充值、提现、电脑版下载、APP下载。

首页科技正文

购买filecoin算力(www.ipfs8.vip):【平安研究】对域环境靶场的渗透与思索

admin2021-07-0895技术

免责声明

郑重声明:本文所涉及的手艺、思绪和工具仅供以平安为目的的学习交流使用,任何人不得将其用于非法用途,否则结果自行肩负!

前言

靶园地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/

本次红队环境主要接纳Access Token行使、WMI行使、域破绽行使SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN行使、黄金票据/白银票据/Sid History/MOF等攻防手艺。关于靶场统一登录密码:1qaz@WSX

1.Bypass UAC

2.Windows系统NTLM获取(理论知识:Windows认证)

3.Access Token行使(MSSQL行使)

4.WMI行使

5.网页署理,二层署理,特殊协议署理(DNS,ICMP)

6.域内信息网络

7.域破绽行使:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN行使

8.域凭证网络

9.后门手艺(黄金票据/白银票据/Sid History/MOF)

环境准备

图1

域控服务器:

内网IP:10.10.10.10

系统:windows server 2012

用户名:de1ay

web服务器:

模拟外网IP:192.168.10.129

内网IP:10.10.10.80

系统:Windows Server 2008

用户名:

域成员机:

内网IP:10.10.10.201

系统:windows 7

用户名:

攻击机:

模拟外网IP:192.168.10.130

系统:kali linux

其中,web服务器设置有两张网卡,一张模拟外网网卡,对外提供web服务,一张网卡毗邻内网。

0x01 对目的举行简朴的信息网络

知道了web服务器的外网IP,首先行使nmap举行端口及服务扫描。

扫描发现目的开启了以下端口:

图2

其中通过端口开端判断目的机存在的服务及可能存在的破绽,如445端口开放就意味着存 *** b服务,存在 *** b服务就可能存在ms17-010/端口溢露马脚。开放139端口,就存在Samba服务,就可能存在爆破/未授权接见/远程下令执行破绽。开放1433端口,就存在mssql服务,可能存在爆破/注入/SA弱口令。开放3389端口,就存在远程桌面。开放7001端口就存在weblogic服务。

0x02 对目的端口服务举行破绽检测

1、 445端口

永恒之蓝先容:
永恒之蓝(Eternal Blue)发作于2017年4月14日晚,是一种行使Windows系统的SMB协议破绽来获取系统的最高权限,以此来控制被入侵的盘算机。甚至于2017年5月12日, 造孽分子通过刷新“永恒之蓝”制作了wannacry勒索病毒,使全天下大局限内遭受了该勒索病毒,甚至波及到学校、大型企业、 *** 等机构,只能通过支付高额的赎金才气恢复出文件。不外在该病毒出来不久就被微软通过打补丁修复。

于是首先就行使445端口,举行永恒之蓝的破绽检测:

图3

发现破绽,实验ms17-010行使模块(ms17010eternalblue)打一打:

图4

无法行使,选择ms17-010的下令执行模块(ms17010command)实验是否能行使:

图5

发现没有开放管道,无法行使。

2、 135/3389端口

其次就是135端口,查看网上的资料发现,它或许存在弱口令,然而需要用到其他工具且它爆破的是主机的用户名与密码,那么就和3389端口的爆破相似,于是选择直接爆破3389端口。

行使hydra爆破3389端口,默认用户名为Administrator,没爆出来:

图6

后面用户名也用上小字典,没爆出来。

3、 1433端口

然后爆破1433用户名、密码也没爆出来。

4、7001端口

接见7001端口,与它的服务器控制台,如下:

图7

7001端口对应的服务为weblogic,从github上下载破绽扫描weblogicscan:

https://github.com/rabbitmask/WeblogicScan

对目的举行一键扫描,发现有如下破绽:一个java反序列化破绽

图8

接见如下地址,可以接见说明确实存在该破绽:

图9

4.1、CVE-2019-2725破绽行使

破绽先容:

wls9-async等组件为WebLogic Server提供异步通讯服务,默认应用于WebLogic部门版本。由于该WAR包在反序列化处置输入信息时存在缺陷,攻击者通过发送全心组织的恶意 HTTP 请求,即可获得目的服务器的权限,在未授权的情形下远程执行下令。

4.1.1、msf破绽行使

对发现的CVE-2019-2725破绽,实验行使msf相关模块(weblogicdeserializeasyncresponseservice)举行破绽行使:

图10

行使失败了,查找网上是否有新的行使方式。

4.1.2、下载exp破绽行使

行使方式:

1) 去https://www.exploit-db.com/exploits/46780下载exp:

图11

2) 用以下下令天生一个反弹shell的powershell剧本:

图12

3) 替换payload中的exploit变量为天生的ps1剧本内容。

4) 在msf中设置一个监听剧本后再用exp打目的,乐成后能获得一个session:

图13

图14

图15

图16

0x04 内网信息网络

获得meterpreter后,举行开端的信息网络

1、 本机信息网络

图17

由获取到的信息判断:

 

图18

图19

图20

2、 域内信息网络

通过查询的信息得知:

图21

图22

图23

0x05 扫描内网存活主机

由于已经扫描出网段10.10.10.80,于是添加路由,使得能够行使msfconsole模块扫描该网段内存活主机:

图24

1、 行使arp_sweep扫描

行使arp_sweep举行内网存活主机探测:

扫描的网段似乎有误,实验了多次只能扫到外网网段:

图25

2、 行使portscan扫描

行使portscan模块扫描却只扫到了10.10.10.80的,可能是路由添加、也有可能是端口开放问题:

,

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图26

3、行使nmap扫描

由于msf添加路由只是能够使得msf工具通过10.10.10.0段的流量,若是想要内陆的工具,如nmap也能够扫描到该网段,则需要设置署理。

msf行使socks_proxy模块设置署理服务器:

图27

设置proxychains文件,执行下令:

将文件内容修改成如下:

图28

实验用proxychains署理打开火狐浏览器接见10.10.10.80:7001发现可以打开,说明署理设置是准确的,路由添加也是准确的,那么就不知为何用msf模块扫不到10.10.10.0段主机:

图29

以上,行使proxychains模块设置好署理后,行使nmap举行扫描:

乐成扫到10.10.10.10

图30

4、 行使ICMP协议探测内网

行使ICMP协议探测内网,依次对内网中的每个IP地址执行ping下令,可以快速找出内网中所有的存活主机。使用以下下令循环探测整个C段:

图31

5、 小结

扫描到两台域内主机:10.10.10.10、10.10.10.201
凭证之前网络到的信息我们知道,10.10.10.10是域控的IP,主机名为DC。

0x06 内网横向渗透
1、端口扫描

1.1、对10.10.10.10

发现开放端口如下:53、135、445、139、3389、49167

图32

1.2、对10.10.10.201

发现开放端口如下:445、139、3389、135、49152

图33

1.3、端口行使

既然PC和DC都开放了445端口,自然少不了实验行使永恒之蓝破绽getshell:

对10.10.10.10:

行使失败:

图34

对10.10.10.201:

也行使失败了:

图35

永恒之蓝行使不了,只能实验行使其他的方式了。

2、哈希行使

2.1、获取哈希

加载mimikatz模块:

图36

获取失败并导致了毗邻的溃逃:

图37

毗邻后再次实验,乐成抓取域控及成员机账号和密码:

图38

图39

图40

既然拿到域管的账号密码以及域控开放了3389端口,则可以实验远程桌面毗邻域控,毗邻失败了:

图41

2.2、哈希转达

试试msf的哈希转达模块,可以获取域控的shell:

图42

而且是高权限system:

 

图43

由于有了之前的履历,且开放445端口,而且域管可以登录随便域成员机,直接实验psexec哈希转达:

图44

行使失败了,开放了3389端口,那么实验一下远程桌面毗邻:

proxychains rdesktop 10.10.10.201

图45

直接域控登录。显示该用户已登录,那么我们可以行使获取的域控权限确立域管用户:

图46

再次实验远程桌面毗邻,乐成上岸,而且是域管权限:

图47

至此,域中三台机子都能被掌控。

0x07 权限维持——伪造黄金票据
1、原理

在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个

Logon Session Key和TGT,而Logon Session Key并不会保留在KDC中,krbtgt的NTLM Hash又是牢靠的,以是只要获得krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,以是也不忧郁域管密码修改。

2、伪造历程

2.1、上岸域控,加载mimikatz模块,然后执行如下下令抓取krbtgt用户的Hash值并获取域sid:

使用msf kiwi模块获取hash失败,行使如下方式:

2.1.1、上传mimikatz.exe到web服务器上,在获得meterpreter的web服务器上执行:

图48

2.1.2、将mimikatz复制到域控DC的C盘的根目录下:

图49

接下来就可以到域控DC的C盘根目录下执行mimikatz.exe:

执行乐成,乐成获取到域的SID号以及krbtgt账户的哈希:

图50

2.2、接下来切换到通俗域用户的WEB主机,用mimikatz天生名为ticket.test的TGT凭证,用户名为域治理员用户(administrator):

图51

天生TGT 凭证乐成,名为ticket.test,然后在mimikatz中将凭证ticket.test注入进去:

 

图52

查看当前会话中的票据:

图53

到此,注入乐成。输入“exit”退出mimikatz,此时,就可以行使这台通俗域用户的主机随便接见域控制器了,如下列出域控的C盘目录:

图54

我发现,由于是通过打weblogic服务拿到的session,而weblogic服务是由域治理员开启的,故获得的该会话权限自己就为域管(de1ay\administ ra tor)权限。

为了加倍明确伪造黄金票据的效果,重新确立了hack通俗域用户上岸,实验接见域控DC的C盘目录,发现接见被拒绝:

 

图55

接下来就根据伪造黄金票据的历程,最后再次实验,发现能够接见,乐成伪造域管用户:

图56

总结

以上,就是域环境靶场的渗透历程,从本次的域环境的渗透我们可以总结出也许的内网渗透思绪:渗透内网,最终目的就是获取域控权限。从获取到内网的一台主机最先,首先就对该主机举行信息网络,可以由以下几个方面来举行信息的网络: 是否存在多个网段、是否存在域环境、查看服务/端口信息、查看当前用户权限。有域环境则想设施定位域控的IP,可以通过dump域用户的哈希甚至可能可以获取到域管的明文密码,行使hash转达举行横向渗透,拿下域控后,可以dump krbtgt用户的hash以及域的sid用以伪造黄金票据实现权限维持。

总的来说,搭建的域靶场环境较为理想,与真实的内网环境差异较大,三台域主机所有开放3389端口,也较为顺遂的dump出域管的明文密码,十分顺遂地就举行了主机的横向移动以及权限维持。

Max pool官网

Max pool官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

网友评论

1条评论
  • 2021-07-08 00:00:12

    USDT跑分

    U担保(www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

    看完我就是最靓的仔