目的https://www.xxxxxxx.net对某外企的一次内网渗入测试复盘  第1张

外围打点信息搜集通过各类东西和在线网站,对子域名停止搜集,并解析ip。发现主站存在CDN,利用fofa,搜刮网站title、js等关键信息和子域名解析的ip对应的C段,发现实在ip。3, 对实在ip的ip段停止扫描,发现一台机器存在Weblogic中间件,利用exp停止测试,发现胜利Getshell。Getshellhttp://xxx.xxx.xxx.xxx:9001/weblogicCVE-2017-10271

Administrator权限,利用我们本身的免杀马胜利Getshell。

对某外企的一次内网渗入测试复盘  第2张

Getshell

内网渗入

权限维持

有杀软,做完免杀之后,间接上线CS,停止历程迁徙。

对某外企的一次内网渗入测试复盘  第3张

对某外企的一次内网渗入测试复盘  第4张

写入注册表,做好权限维持,那里忘记截图了。

shell reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "dll" /t REG_SZ /d "rundll32 C:\Windows\Temp\log.dll start"信息搜集

看了一下,当前存在域xxx,但不是域用户,也无法利用号令查询域情况,抓取不到密码。

对某外企的一次内网渗入测试复盘  第5张

当前不是域用户

那里利用工做组渗入手法,先拿下域内的机器然后再停止域渗入操做,那里本想上传fscan扫描内网,但在C:/windows/temp下发现有前辈上传的fscan和扫描记录,间隔时间两天,能够拿来一用。扫描成果如下,域内破绽还挺多的。

对某外企的一次内网渗入测试复盘  第6张

fscan

发现172.168.0.3(MAIN_FILESERVER)存在MS17010,该机器名暗示着那台机器可能是内网中重要的机器,利用MSF的模块停止攻击,发现胜利上线。

在172.168.0.3机器上,发现当前为域用户,能够利用号令查询域情况,mimikatz抓取明文密码和hash,并发现了域控帐户密码(太幸运了吧)。

xxx.COM\Administrator xxxxxx

信息搜集成果如下:

明文密码和hash域用户域办理员域机器域内机器大要有70-80台摆布,属于一个小型的内网。域控机器

172.168.0.1:SERVER,单域控,域内构造还比力简单。

各类密码搜集查看当前机器上安拆的法式,若是有阅读器,那么就能够搜集阅读器的密码,若是有安拆的数据库,也能够找数据库的设置装备摆设文件,读取帐户密码,总之,要对每一台机器停止认真地信息搜集。

得到域办理员账户密码就能够停止密码喷洒东西,先利用frp反向代办署理停止隧道搭建。

横向渗入

将kali代办署理进内网,扫描内网存活机器,利用域办理员帐户密码,对域内停止密码喷洒(crackmaPExec)。

对某外企的一次内网渗入测试复盘  第7张

crackmapexec

利用CS自带的psexec对其他机器停止横向渗入,部门机器无法上线,对不克不及间接CS上线的机器,利用impacket-wmiexec上线机器,然后上传beacon.exe施行直达上线。

无法上线的原因:1. 账号密码不合错误。2. 该账户密码在目的机器上停用。3. 存在杀软拦截横向渗入。域渗入

利用impacket-wmiexec和域管帐户密码对域控停止攻击,发现胜利施行号令,但无法上传beacon.exe上线CS,判断该机器上存在杀软拦截beacon.exe,但不拦截横向渗入。域控机器:

对某外企的一次内网渗入测试复盘  第8张

域控机器

号令行注册表开启长途桌面,发现一个大大的TeamView。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f对某外企的一次内网渗入测试复盘  第9张

长途桌面

对某外企的一次内网渗入测试复盘  第10张

AD域办事

到那里已经完成了渗入目的。

对域内部门重要机器停止截图:

MAIN_FILESERVER机器……陈迹清理

清理日记和上传的webshell、木马和东西,那里没有截图,就放我的条记内容。

常见日记HTML应用法式日记文件:%systemroot%\system32\config\AppEvent.EVT;平安日记文件:%systemroot%\system32\config\SecEvent.EVT;系统日记文件:%systemroot%\system32\config\SysEvent.EVT;DNS日记默认位置:%sys temroot%\system32\config,默认文件大小512KBInternet信息办事FTP日记默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日记;Internet信息办事WWW日记默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日记;Scheduler办事日记默认位置:%sys temroot%\schedlgu.txt;以上日记在注册内外的键:应用法式日记,平安日记,系统日记,DNS办事器日记,它们那些LOG文件在注册表中的:HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog有的办理员很可能将那些日记重定位。此中EVENTLOG下面有良多的子表,里面可查到以上日记的定位目次。Schedluler办事日记在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentwevtutil.exe撑持系统:Win7及以上。不撑持删除单条内容。

获取日记分类列表:

wevtutil el >1.txt对某外企的一次内网渗入测试复盘  第11张

日记分类列表

查看指定日记的详细内容:

wevtutil qe /f:text "windows powershell"对某外企的一次内网渗入测试复盘  第12张

某日记详细内容

获取单个日记类此外统计信息:

wevtutil gli "windows powershell"

对某外企的一次内网渗入测试复盘  第13张

日记类别

删除单个日记类此外所有信息:

wevtutil cl "windows powershell"对某外企的一次内网渗入测试复盘  第14张

删除某日记

攻击成果

利用域管帐户密码对域内机器停止批量上线,部门被上线机器列表如下。

对某外企的一次内网渗入测试复盘  第15张

上线机器

对某外企的一次内网渗入测试复盘  第16张

拓扑图

总结外围打点,重视资产搜集,实在ip的寻找、攻击面的扩大,平常要对各类0day停止搜集,做好webshell的免杀,便利在项目中间接利用。内网渗入,重视对内网机器的信息搜集和机器定位,流量代办署理(有可能被杀,能够二次开发一些流量代办署理东西),做好木马的免杀和权限维持,要有一套本身的内网渗入办法。域渗入,对各类域渗入的攻击手法和东西利用要熟悉,要判断当前在域的构造,若是拿不下域控,能够测验考试对一些其余域内的重要办事器停止渗入,命运好间接就能拿到域管帐户密码,那么整个域就相当于间接拿下了。做好陈迹清理。跋文

那只是一次比力简单的的内网渗入,在平常的靶场操练时,尽量不要利用Cobalt strike和MSF等内网渗入框架。如在项目中,在允许的情况下,能够利用(究竟结果效率比力高)。在停止过几次的实网的内网渗入后,我在后期的进修中会逐步的把重心放到免杀和东西的二次开发上,会开发一些本身的东西并开源。

来源收集,若有侵权,请联络删除