0x01 外网打点到Getshell
目标站点:
通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
http://xxx.xxx.xxx.xxx:9001/
weblogic
CVE-2017-10271
administrator权限,使用免杀马成功shell
0x02 内网渗透
有杀软,做完免杀之后,直接上线CS,进行进程迁移。存在杀软
写入注册表,做好权限维持,这里忘记截图了。
shell reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /f /v "dll" /t REG_SZ
/d "rundll32 C:\Windows\Temp\log.dll start"
C:/windows/temp
下发现有前辈上传的fscan和扫描记录,间隔时间两天,可以拿来一用。扫描结果如下,域内漏洞还挺多的。xxx.COM\Administrator xxxxxx
域管理员
域机器
0x03 横向渗透
将kali代理进内网,扫描内网存活机器,使用域管理员帐户密码,使用crackmapexec对域内进行密码喷洒。
impacket-wmiexec
上线机器,然后上传beacon.exe执行中转上线。无法上线的原因:
1. 账号密码不对。
2. 该账户密码在目标机器上停用。
3. 存在杀软拦截横向渗透。
impacket-wmiexec
和域管帐户密码对域控进行攻击,发现成功执行命令,但无法上传beacon.exe上线CS,判断该机器上存在杀软拦截beacon.exe,但不拦截横向渗透。域控机器:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
0x04 痕迹清理
清理日志和上传的webshell、木马和工具。
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB
Internet信息服务FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Internet信息服务WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
Scheduler服务日志默认位置:%sys temroot%\schedlgu.txt;
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
wevtutil el >1.txt
wevtutil qe /f:text "windows powershell"
wevtutil gli "windows powershell"
wevtutil cl "windows powershell"
0x05 攻击结果
使用域管帐户密码对域内机器进行批量上线,部分被上线机器列表如下。
0x06 总结
作者:Wangfly
作者博客:https://www.hui-blog.cool/posts/4b95.html
如有侵权,请联系删除
整理:HACK学习呀