记一次内网实战之不会免杀(上)

原创 作者:nobgr Team:重生信息安全

前段时间看了一下内网渗透,所以想找个环境练习一下,恰好有个兄弟丢了个站点出来,一起“练习内网”,然后就开始了“实战代练”。由于“懒”,所以记录时间和截图有些是补的。

0x00 外网入口点

打开站点(这里用baidu.com替代)看了看,左翻翻右翻翻能看到很明显的“注入”点。简单测试一下(and 1=1、1=2),返回不一样,所以sqlmap一把梭。

sqlmap -u https://baidu.com/detail.asp?Prod=2222222222 --random-agent --thread 10

估计外国站和带宽的原因,跑的很慢。所以走了一遍正常的信息收集:
真实ip:8.8.8.8
Web容器:Microsoft-IIS/7.5
子域名:
mailserver.baidu.com
mail.baidu.com
端口:80、443
......

发现页面登录处admin有个万能密码,登录进去发现只有查看账单的一些功能,所以没用。
C段发现用同一套模板的站,判断是属同一家,所以也注入点跑了一遍。发现这个站跑的比目标站快很多,所以先搞。
04826-k67g1oaenzp.png

--is-dba为dba权限,故os--shell试试,权限system
75794-87eqwakoddx.png

两个站都是08系统+sql注入+dba权限+system权限,外网入口点太轻松,可忽略,抱着学内网的心态。都一样的站,所以搞目标站。

0x01 中转捣鼓

执行回显得很慢,加了threads 10也是很慢。想着上cs和msf,死活不上线,怀疑有杀软或者拦截协议或者其他。ceye试一下
ping %USERNAME%.baidu.ceye.io
85895-yzzyeszdlmr.png

平台有记录,能通外网。但是bitsadmin等下载命令都试了,不上线。走echo写马路线。
先找到web的目录,目录在C盘根目录?
91526-w68j00hyok8.png
写了n次马子,愣是没上去,位置不对还是有查杀小马的玩意?嗯,位置不对(猜可能有其他盘,d盘bingo)和好像还有个杀马子的玩意(用了个大小写换下,^是转义字符)。
05647-5fnmsall6rd.png
69566-3v794jzpk7j.png

0x02 没思路乱搞系列

查看进程,之前发现有进程有ekrn.exe,egui.exe(eset的进程),不会免杀的我浪死在沙滩上。之前在刀上能执行命令的,这次回去补图居然执行不了命令了。sqlmap那个执行回显太慢,找张内网机子的图补一下(它内网机子都装了eset)。
66860-cbjqlcavsmo.png

翻翻文件(无脑子的翻,不确定哪些重要哪些不重要,感觉都重要),看看有什么数据库密码什么的。找到一些配置文件,发现数据库密码、邮服密码?。(在某个文件夹里面发现同行的脚本,应该没被日穿吧。)
99454-c6go9rvojlv.png
49913-frur7blhb3c.png
02023-c7tiwvjzjwg.png
先留着这些账号密码,msf有个sqlserver账号密码之后命令执行的模块和存着之后可能的爆破操作。用reg的http代理试试账密能否搞得到东西,
python reGeorgSocksProxy.py -p 1080 -u http://baidu.com/reGeorg.aspx
72279-nifd17a5i7.png
39477-0h4ttelcy8bd.png

再试一波能内网常见的高危:17-010、08-067这类,能直接get的先get(搞不好打到域控啥的重要机子呢)。最后17-010打下内网很多机子,其他的漏洞或者端口扫描就先暂停了。
33219-84b8ef06fin.png
白天扫的时候很多机子,晚上再扫发现少了很多,那些应该是员工的机子(下班得关机吧)。
子网掩码255.0.0.0,怀疑不止一个段(其他网卡段还没看)。大概翻了一下,10.1.1到10.1.6的ip都有在用。
41974-c8pibfuy2cb.png
59940-jwvy95h25lm.png

0x03 eset免杀问题

翻了几个机子的tasklist和尝试ms17-010的反弹,发现eset这个鬼杀软好阻碍干活。上传的工具都死掉了,没搞定这个杀软估计没得搞了。(虽然有个代理可以搞了,但是上个msf有利于后续操作)刚开始还想着添加账户3389过去“手动免杀”。后来找了下加壳在本地测试能文件免杀,但是尝试msf或者cs的又马上杀掉了。于是又找到了个shellter捆绑正常的putty.exe免杀,这会回去复现写文章已经不免杀了。于是有了shellcode免杀操作。
13232-b9ofd426gni.png

用了下这个shellcode加载器
https://github.com/clinicallyinane/shellcode_launcher/
,醉了这都杀。Veil也试过不得,改了下别人的shellcode_launcher,也还是杀了,不会免杀寸步难行,暂时放弃(taskkill掉?别,不过好像也kill不掉,“手动”免杀?别。学一波免杀吧,这flag立了好久,自己改自己写吧,太水都不好意思问大佬。准备闭关)。

0x04 内网乱怼

免杀方面过不了,只有代理脚本搞内网了。整理一下信息,外网的两台web在一个内网上,在对应机子上找到两个sqlserver的账密,17-010能打下的1段机子。目前能拿下的机子:

10.1.1.2(web1,sqlserver)
10.1.1.6(web2)
10.1.1.10(445)
61(445)
22(445)
68(445)
94(445)
105(445)
161(445)
199(445)
......

代理有点问题,时不时中断,有些命令得执行几遍,445在这个内网能收割很多。因为不止一个段,有些机子也不止一个网卡,所以现在只记录10.1.1.0/24的,其他段操作都差不多。基础信息收集那堆就不敲了(能百度谷歌出来的问题不是问题吧,这篇感觉是最友好之一内网的文章),在一波信息收集之后,发现存在域。则直接找域控,在199找到很多用户,这台应该是台域控。
02670-nip60yhvmpm.png
在10也找到了个krbtgt账户,不同的域名。
17580-hlmd4r4d52n.png

简单检测一下199(当时想着过去手动关闭杀软,搞到域管擦屁股跑路),ping和dnslog测试过,应该不通外网。添加用户晚上3389连了过去。这里也遇到坑,添加的用户登录不进去,net系列命令没有回显。直接添加用户是域用户?后面systeminfo发现个域名,之后登陆的是加个域名才登陆进去。
12587-mcntwn31zxa.png
不通外网,看到了eset这个杀软。
50226-jh6tounlhz.png

刚想手动免杀,然后被大佬笑了,所以卡在eset这玩意上面,抓密码等等操作不了(之前shellter过免杀的还是能抓到hash,hash碰撞也ok,一波偷懒时间过去就凉了),现在就只有全程sqlserver账密和17-010执行命令。

0x03 下篇:鲨鱼师傅的操作

由于某些原因,鲨鱼师傅接手搞了这个内网,请客官们 搬好小板凳观看:
《记一次内网实战之不会免杀(下)》

原创文章,作者:运营,如若转载,请注明出处:http://www.csxxaq.com/yc/467.html
GOback: Go语言编写的后门,使用shellcode注入技术
« 上一篇 05-13
记一次内网实战之不会免杀(下)
下一篇 » 05-13

相关推荐

Joomla漏洞总结

以下文章来源于黑白天 ,作者kevinJoomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现漏洞描述Joomla是一套内容管理系统,是使用P...

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...

Android渗透工具集合

Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表,其涵盖了在Andro...