【测试评估】内网练习(三)

发表于 | 分类于 | 热度

文章已脱敏,为了方便理解,IP未处理。

0x00 前言

在渗透测试中,经常会遇到一些奇奇怪怪的环境。本文所采用的环境是一个红蓝对抗靶场,以贴切实际环境为出发点。

  • 目的:查找内网中找到R9部门中关键字为flag_yinquesiting_rcoil的文件(文档、数据库不限)。
  • 提示:域用户备注存在部门名称。

  • 初始网络拓扑

    Snipaste_2018-09-20_11-26-53

0x01 靶机信息收集

入口点是工作组内普通的一台win7系统权限(可出外网 –> AttackVPS),上线Cobalt Strike(使用https协议)进行操作。

  • M238-RcoIl的基本信息。
1
2
3
4
5
6
7
8
机器名: M238-RcoIl
权限: system权限
系统: Windows 7 Professional 6.1.7601 Service Pack 1 Build 7601 x64
Domain: WORKGROUP
IP地址: 10.20.238.29 (此C段纯工作组)
杀软: Panda Endpoint Protection、McAfee、SMADAV (非最新版)
已有操作: 密码拖取、全盘文件列表获取、浏览器浏览记录及密码、TCP连接及进程等相关基础操作
额为信息: 10.1.1.0/24

注:操作存在未成功状态。在操作时发现此靶机的流量明显受阻,初步研判是存在类似流量审计的系统。

在TCP连接及浏览器浏览记录中发现了一些内网IP,做记录。其余未发现有任何敏感信息,故此机器仅作跳板机即可。

由此机器(M238-RcoIl)作为A跳板,通过Socks4代理对所处网络C段进行常规的端口探测(Web、SMB、SSH、FTP、SMTP等),最后通过MS-17-010获取到10.20.238.12机器权限,上线Cobalt Strike进行操作。

  • 重复信息收集步骤
1
2
3
4
5
6
7
8
机器名: Admin-RcoIl
权限: system权限
系统: Windows Vista Business 6.0.6000 N/A Build 6000 x86
Domain: WORKGROUP
IP地址: 10.20.238.12 (此C段纯工作组)
杀软: Panda Endpoint Protection、SMADAV (非最新版)
已有操作: 密码拖取、全盘文件列表获取、浏览器浏览记录及密码、TCP连接及进程等相关基础操作
额为信息: 10.1.1.0/24

注:操作存在未成功状态。

从信息收集情况来看,此机器仅多了几个内网连接,但这一台机器的网络环境比A跳板机好很多。故,由此机器作为B跳板机,同样是使用Socks4

  • 此时网路拓扑为:

blog_2019-01-14_18-33-14

blog_2018-10-18_18-24-12

0x02 内网拓展 一

由于搭建的B跳板机网络较好,所以使用B跳板机。

10.1.1.0/24进行常规的端口探测

1
2
3
4
5
SMB: 探测无结果
Web: 利用点最好选为初始环境(默认配置)
		-->http://10.1.1.133/rcoil/main/index.php RcoIl的窝-许可证注册管理系统
		-->http://10.1.1.91 Tomcat管理页面
其余情况: 无

一、web默认配置

10.1.1.133这个web是默认配置(非CMS),并且存在phpmyadmin,尝试弱口令 –> 进入后台 –> 写入shell –> 蚁剑连接 –> 成功、系统权限(这就是默认配置的魅力 –> 简洁快速)。

1
2
3
4
5
6
7
8
机器名: WIN-B001
权限: system权限
系统: Windows Server 2008 Standard 6.0.06002 Service Pack 2 x64
Domain: WORKGROUP
IP地址: 10.1.1.133 (此C段存在域)
杀软: 无
已有操作: 密码拖取、全盘文件列表获取、浏览器浏览记录及密码、数据库帐密及数据库内容、TCP连接及进程等相关基础操作
额外信息: TCP未存在已连接IP

查看TCP连接,未发现任何的连接情况。上线Cobalt Strike未成功,此时查看连接,发现靶机与AttackVPS处于SYN-SENT状态,没有访问成功?经过探测,确定是出不来的状态,最后使用smb协议上线。

从它数据库中获取了一些密码,但感觉会没有作用,因为都是一些弱智密码。

二、Tomcat默认配置

Tomcat是默认密码,部署war拿到系统权限,但是由于是jsp,蚁剑不支持,所以使用菜刀连接。

1
2
3
4
5
6
7
8
机器名: PG-BUK
权限: system权限
系统: Windows Server 2008 R2 Standard 6.1.7601 Service Pack 1 Build 7601 x64
Domain: demo.rcoil.me
IP地址: 10.1.1.91 (此C段存在域)
杀软: Panda Security (非最新版)
已有操作: 密码拖取、全盘文件列表获取、浏览器浏览记录及密码、数据库帐密及数据库内容、TCP连接及进程等相关基础操作
额外信息: 此机器8080端口为Apache服务

在此机器上获取到了域管理员帐密(DEMO\Administrator/test@demo02),但是在此机器上获取不到别的域信息,报出1355错误powerview运行报错。

8080端口是一个端点资产管理系统,使用的是xampp

查看量数,不得了,15K的量,这数据也是伪造得够狠的,分不清哪些是真是假,能不能通往。

查看数据库,是站库分离的,数据库在10.1.1.16,使用的是mssql,开启xp_cmdshell

三、数据库

1
2
3
4
5
6
7
8
机器名: DCO-DB
权限: 网络权限
系统: Windows Server 2008 R2 Standard 6.1.7601 Service Pack 1 x64
Domain: demo.rcoil.me
IP地址: 10.1.1.16 (此C段存在域)
杀软: Panda Security、Symantec (非最新版)
已有操作: TCP连接及进程等相关基础操作
额外信息: 使用获取的域管账号登陆失败、查询域内信息1355报错

四、SPN

SPN:“服务主体名称(SPN)是由客户端对一个服务实例进行唯一标识的名称”。这意味着安装到Windows域中的每个服务都会被注册到活动目 录(Active Directory)中。

1
setspn -T demo.rcoil.me -Q */*

使用这个对于信息收集也很快速。但是这里出现错误

1
2
3
4
5
Ldap Error(0x51 -- Server Down): ldap_connect
Failed to retrieve DN for domain "demo.rcoil.me" : 0x00000051
Warning: No valid targets specified, reverting to current domain.
Ldap Error(0x51 -- Server Down): ldap_connect
Error occured when searching for existing SPN: 0x00000051

0x03 内网拓展 二

一、SMB协议

WIN-B001机器作为C跳板机

进行C段SMB识别,发现是可以探测出来版本等信息。因此可知,B跳板机的网段是被做了些隔离限制。

先大概摸清网络拓扑,接下来进行以下操作:

  • 从资产管理系统抽取IP段;
  • 对抽取的IP段进行SMB信息探测,但可能会有隔离等策略限制;
  • 使用MS-17-010配合进行漏洞检测;
  • MS-17-010的漏洞作用为添加隐藏账号

最后共计有226台机器检测出存在漏洞。从筛选SMB信息探测结果来看,此机器可到达内网域有6个。看了看数据,总感觉漏了东西,如果这些信息没有帮助的话,就对10.0.0.0/8进行全面识别了。

二、SMB协议利用

使用Cobalt Strike批量测试上线外网情况,有一台(NSVC-001_10.160.5.51)机器成功上线。并且这台机器没有任何的杀软限制(后续因忽略了流量审计系统的问题,掉线),接下来的操作都是基于这台机器做的D跳板

使用NSVC-001_10.160.5.51作为根beaconsmb协议上线PG-BUK_10.1.1.91

从探测结果选择一个域名为ba.demo.me且存在MS-17-010漏洞的机器,从PG-BUK_10.1.1.91使用smb协议上线BA-AS02_10.0.1.34

三、ba.demo.me域

1
2
3
4
5
6
7
8
机器名: BA-AS02
权限: system权限
系统: Windows Server 2008 R2 Standard  x64 备份域控
Domain: ba.demo.me
IP地址: 10.0.1.34
杀软: 无
已有操作: 密码拖取、全盘文件列表获取、浏览器浏览记录及密码、TCP连接及进程等相关基础操作
额外信息: 获取到域管理员账号密码、域信任关系

从这一台机器上面的信息可疑判断,这个靶场环境是存在PacketShaper,非常的贴切。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# 查看域控制器
c:\Users\Public\Downloads> nltest /dclist:ba.demo.me
Get list of DCs in domain 'ba.demo.me' from '\\BA-AS02.ba.demo.me'.
    BA-AS02.ba.demo.me        [DS] Site: Default-First-Site-Name
    BA-AM02.ba.demo.me        [DS] Site: Default-First-Site-Name
    BA-AS01.ba.demo.me [PDC]  [DS] Site: Default-First-Site-Name
The command completed successfully

# 查看域信任关系
c:\Users\Public\Downloads> nltest /domain_trusts
List of domain trusts:
    0: PH ph.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound)
    1: SH sh.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound)
    2: KL kl.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound)
    3: KD kd.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound)
    4: SW sw.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound)
    5: PS ps.ba.demo.me (NT 5) (Direct Outbound) (Direct Inbound) ( Attr: quarantined )
    6: BA ba.demo.me (NT 5) (Forest Tree Root) (Primary Domain) (Native)
The command completed successfully
不得了,居然有子域,而且目前位置是在根域。

其实这一台机器上面的web服务也是默认的xampp,但是phpmyadmin只允许本地访问,而且首页做了跳转。

在对BA-AS02_10.0.1.34进行信息收集时,D跳板机断开连接,经初步研判,应该是管理员对机器进行了维护。所以使用B跳板机继续操作。

此域存在200+用户,并未发现关键词。利用SPN识别域内的SQL服务,并未发现,故放弃此域。

接下来往其他域着手。

0x0x 最后的思维导图

Snipaste_2018-09-20_11-26-53

RcoIl Alipay
!坚持技术分享,您的支持将鼓励我继续创作!