实战打穿外企的内网

实战打穿外企的内网
2022-10-25 08:1:53 Author: 李白你好(查看原文) 阅读量:56 收藏

免责声明

由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号李白你好及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

01 目标

目标站点

http://www.xxx.com/

02 外围打点

1、主站未上CDN，先看C段，发现了多台台服务器安装了Weblogic，直接上EXP打，发现全部存在反序列化漏洞。

2、对这些机器测试，发现某一台未安装杀软，挑最弱的下手，但后面横向移动还需要免杀上线。

Getshell

CVE-2019-2725-Bypass
http://xxx.xxx.xxx.xx
无杀软，哥斯拉上线

03 内网信息收集

查看当前权限

system

查看网络信息

只有一个网段192.168.0.0/24，并发现存在域环境：latam.com，当前机器是域内机器。

域控主机

主域控：ARBUEDCP02$              ARBUEDCPV01$             ARBUEDCPV03$             
ARBUEDCRV01$             ARCFDCPV01$              ARCRVDCPV01$             
ARCSDCPV01$              ARCTDCPV01$              ARLHDCPV01$              
ARMDZDCPV01$             ARMDZDCPV02$             ARNQNDCPV01$             
USIADDCPV01$             VLABA-DC02$              VLABA-DC03$

域管理员

AR_CRV_Veeam_Adm         sai-admin                sa-o365                  
sa-sql                   sa-sql2                  sqlservice               
su-ceiman                su-cgarcia               su-dmansilla             
su-jkalaydjian           su-lcersosimo            su-mcarlino              
su-mferreira             svc_adauditplus          svc_sccmagentinstall     
svc_selfservice          svc_sqlmanageengine      Svc_VeeamAdm

域用户

域内主机

查询当前用户

在进程列表中，发现当前机器有域用户scom_das登录的痕迹，使用CS Mimikatz抓取明文密码和Hash，只发现本地Administrator帐户和对应的Hash值。

administrator xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

扫描域内存活主机和端口

使用Ladon插件进行内网端口扫描，发现多台机器安装Weblogic中间件。
192.168.0.75 7001 
192.168.0.82 7001 
192.168.0.81 7001 
192.168.0.150 7001 
192.168.0.168 7001

隧道搭建

使用frp进行反向代理，将本地kali的流量代理进内网。没有截图

04 内网渗透

横向渗透

发现当前C段内存在不少部署Weblogic的服务器，都有对应的反序列化漏洞，但主机上都存在杀软：趋势科技，测试发现哥斯拉的Webshell可以使用，但CS的马需要进行免杀，才能上线。

192.168.0.75 7001 有杀软 可以使用哥斯拉
192.168.0.82 7001 有杀软 可以使用哥斯拉
192.168.0.81 7001 有杀软 可以使用哥斯拉
192.168.0.150 7001 有杀软 哥斯拉不行，需要免杀
192.168.0.168 7001 有杀软 certutil -urlcache -split -f免杀马即可上线 机器全部出网

上线至CS之后，抓取明文密码和Hash，但没有发现其余用户账号和hash，只能使用Administrator账号和hash，psexec尝试批量上线其余机器，因为是Administrator用户，工作组情况下也可以的。

psexec_pth administrator xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
192.168.0.3
192.168.0.4 
192.168.0.11
192.168.0.19
192.168.0.37 
192.168.0.60
192.168.0.71 
192.168.0.74
192.168.0.238

域内机器上线成功之后，继续抓取明文密码和Hash，终于发现多个域管明文密码和账号，如下所示。

LATAM\sa-sql             xxxxxx
LATAM\su-lcersosimo      xxxxxx
LATAM\su-mcarlino        xxxxxx
LATAM\Svc_VeeamAdm       xxxxxx

域渗透

得到域管帐户和密码后，选择一个，使用winrm对两台域控机器进行上线，上线成功后进程迁移，并得到在ARBUEDCP02$域控机器上的账户本。

LATAM\sa-sql  xxxxxx
192.168.0.66  ARBUEDCPV01$
192.168.0.25  ARBUEDCP02$

使用winrm和域管理员帐户密码继续横向上线，直至域内机器全部上线，打穿整个域，完成目标。

05 痕迹清理

1、删除免杀马，防止被杀软识别，免杀失效。

2、删除上传的代理工具。

3、清理日志，wevtutil.exe。

06 总结

1、外围打点，注重资产收集、攻击面的扩大，以及0day的收集，webshell的免杀，方便在项目中直接使用。

2、内网渗透，注重木马的免杀和信息的收集，以及横向渗透的思路的扩展，拿下每一台机器都要进行抓取明文密码和hash的操作并翻看机器上的文件寻找存在的配置文件，如有需要做好权限维持。

3、域渗透，注重域控主机的信息收集（根据当前主机操作系统选择不同的横向工具）和域管理员帐户密码的收集，Kerberos认证知识要去学习。

4、擦屁股，删除webshell和内网渗透工具，还有日志。

07 往期精彩

文章来源：Wangfly

原文地址：https://t.zsxq.com/04NZbUZvR

如需转载本样式风格、字体版权，请保留出处：李白你好

文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247494731&idx=1&sn=98f3f2c1887d82cbdf0ed8dd7d418d6a&chksm=c09a9f1bf7ed160d502c89a96e9808a93589abb75bcba1a09a6559e1c94c9ec5b2a2d89c50bb#rd
如有侵权请联系:admin#unsafe.sh