内网横向考核
前言
一个月前入职了qax,结果一直没活干,天天带薪学习(
做了一下实验室给的内网靶场,提升一下实战水平。
信息收集
跳板机:10.95.208.101
内网网段:172.16.0.0/16
登录跳板机
首先这步需要登录公司的VPN,然后通过ssh连接跳板机。跳板机可以出网,但是不能把代理挂在公网上(公司规定),所以不用frp做反向代理转而用Neo-reGeorg做正向代理。
|
|
生成服务端脚本
但是有个很操蛋的问题,跳板机上是没有web服务的,所以得先自己下个tomcat搭个web环境,然后将tunnel.jsp放到tomcat的相应目录下。
搭建完成后就可以在攻击机上连接上脚本
|
|
这里完成后,一开始我是选择Neo-reGeorg+proxifier的搭配的,但是后来证明不如Neo-reGeorg+proxychains好用,简直浪费大把时间。
接下来就是利用nmap做存活主机探测
|
|
探测结果如下
|
|
目标还是挺多的,先从linux下手,因为之前的跳板机是给了账号密码的,并且172.16.16.15
的靶机开了ssh服务,先尝试一波
拿下一台主机,在这台做了下信息收集,没啥有价值的东西。接下来瞄准172.16.9.20
,因为上面搭了exchange服务,前几天刚做了exchange的渗透总结。
在用nmap扫描主机的时候,已经发现了用户名为exchadmin
,并且存在域adexch.local
,所以同样用之前的密码试一下,可以成功登录
但是上面一封邮件都没有(这里已删除邮件是我自己尝试的时候删除),访问/ecp
可以发现有三个邮件用户administrator、exchadmin、exchange
,另外两个用户用相同密码登陆时失败。
这个时候就想用proxyshell, proxylogon
打一下试一下,这里有个巨坑的点浪费了我好几天时间,就是它不能导出邮件,不管是直接在网页端还是脚本发出导出请求都会失败。所以在我尝试了msf和GitHub上的exp之后都不能拿到shell,只能执行exchange shell的命令。这条路子遂放弃。
一开始我想,既然已知域,账号还有密码,为什么不用psexec连接。所以在打exchange之前我用msf试了一下,但是失败了遂放弃。但后来我把代理改成proxychains并且挂在kali上,并用impacket-psexec连接,连接成功
|
|
横向渗透
先在当前主机上做信息收集
查看域管理员有哪些账号
|
|
发现当前登录的用户就是域管理员,所以直接用当前账号登录域控172.16.9.10
之后关闭防火墙,开启3389端口
|
|
尝试用xfreerdp远程连接
另外一台有web服务的主机是172.16.15.20
,但是上面的IIS是默认界面,没有什么攻击点。
而其他的主机除了windows域服务默认的端口也没有开放有价值的端口,所以这个时候我也只能想到用MS17-010
之类的漏洞尝试一波
打成功了,但是还有个问题:这里执行有限的命令,不能直接shell。不过好在可以使用kiwi
模块里的hashdump
这个时候既然能拿到hash了,那么明文密码也无所谓了
之后还是一样,关闭防火墙,开启3389端口。剩下的主机也都是一样的套路,因为都可以用MS17-010
打成功,不成功的也可以抓取到hash。
总结
这次靶场还是比较简单的,主要还是增加了内网渗透的熟练度吧。最大的坑点还是在exchange那块,耽误了好几天时间,看脚本代码->修改脚本代码->打poc,结果最后是不能导出邮件。。。