记一次内网实战之不会免杀(下)

原创 作者:鲨鱼 重生信息安全

0x01 前言

前几天忙的一批,也是没法再写文章,工作中黑盒测试也遇到很有意思的渗透故事,但鉴于保密问题也没法向大家公开。上篇说到进入内网遭到杀软残忍杀害,这篇我将带头冲锋,本人免杀也只是略知一二只是走着别人走过的路,废话不多说开搞。

0x02 正文

内网第一波肯定是信息收集但是我已经拿到了很多信息,可以参考《一次实战内网漫游》文章下方的msf模板进行收集信息。
85413-hua9rmswub.png

Msf监听接收到shell,然后开启内网转发进入内网。
98675-hnysul6saj.png

run autoroute –s 网段
08103-7mgta7gfp2x.png

Use auxiliary/scanner/smb/smb_ms17_010
Set rhosts 网段ip
Set threads 线程
run

24496-5immdjycn6n.png
85371-0jyjveq4zf1k.png
这很泰国ms17-010基本都没打补丁。
74161-4h5hwc6cyv6.png
上篇文章说到199ip很可能是个域控,存在大量用户(199不出网,不通外网)。
因为杀软问题直接利用ms17-010反弹shell是无法成功的,这里我们使用ms17-010命令执行的exp。

Use auxiliary/admin/smb/ms17_010_command
Set command 执行的命令
Set rhosts  目标
Run

51871-gjh2spzvvx.png
Ok执行成功,然后添加用户和管理组(不再进行截图)。
09568-58ngx97pef6.png
16612-j9ynr3wjes.png
然后regeorg配合proxifier进入内网(regeorg通过web脚本文件将内网流量转发出来,具体可百度学习)。
95252-cidvxb633n.png
然后远程到199ip的桌面,下面让199ip主机反弹shell到msf。
30586-e38gsg84vie.png
我们已经拿到6的权限,可以使用微软自带的netsh转发进行中转shell。
我们这里设置的是将访问ip 10.1.1.6 8081端口的流量全部转发到外网vps 4478端口
71955-u10l6p102n.png
然后我们在我们的VPS上监听4478端口。
18767-mdu2gq4ylu.png
199这个IP直接反弹shell到6的8081端口。(6会通过netsh设置转发到公网VPS上)。
27977-hflq2n6cqoa.png
199这个主机也没什么东西(假域控)读波密码溜。(读密码需要system权限我们使用ms17-010进行提权)
08371-jy3jlixoewk.png
50010-t2nkjr4era.png
通过ms17提权成功,读密码。
82146-rp919i55q4.png
53396-xlx9jrz1rx.png
Load mimikatz 加载mimikatz
Kerberos 读取明文
我们拿到了199的明文密码。(下面我们利用此密码进行撞C段主机)。
89881-cij42mn9bfi.png
76429-9r1bvwzuaan.png

Use auxiliary/scanner/smb/smb_login
Set rhosts IP
Set smbuser 用户名
Set smbpass 密码
Set threads 线程
Run

撞出了大量主机(部分截图)。
67054-7co2tzj8g69.png

此时行总发来了电报说他腰疼,七夕节腰疼有点意思。
通过行总发来的文档,得知内网存在5个C段,每个段都存在域控??
16101-9x5rbc6fono.png
前边已经得知10ip主机存在ms17(通外网,直接添加管理员用户)。
62583-qf2cc4udhne.png
然后在进行IPC进行连接。
18357-ho0pxe8z2ln.png
然后把马copy到目标C盘。
72204-6595tdrav9v.png
使用ms17进行执行木马反弹shell。
92853-d0kq3xy3m7.png
读取密码进行远程桌面连接。
39989-1luw301tnid.png
Run getgui –e 开启远程桌面。
07804-6d8spuudu8g.png
域内没有一台主机卧槽?域不要钱一样的搭建。(我们把目标转向1 IP主机 貌似还挺多域内主机 1的域为ESOURCE)。
31016-5pa8jeyyv5n.png

1 IP主机没有可利用系统漏洞,目标转向域内用户,碰碰运气看能不能读到域管理密码。(先攻击存在ms17的域内主机)
79194-jjr6x25f9gi.png
10941-74oc7sk57jb.png
94598-5hpeeim601c.png
基本套路ms17添加用户IPC上传文件ms17执行木马。(不要问我为啥不直接弹shell,因为杀软拦截,为啥拦截?我不知道!)
61934-jtbvlhfnc9e.png
83939-3535b9ymfg.png

读了两台域内主机的密码,都没有读到域用户密码。(连个域普通用户都没有,还想搞个黄金票据)。
59642-85rx9qnz48.png
97875-p92jpuqyolq.png

最后目标锁定在79 IP上 他的本地管理员密码和199 IP主机本地管理员密码相同。
09902-08wtorqhpiey.png
最后成功读到一枚域管理密码,登陆1 IP域控。
77206-24jzk440ub7.png

这特码是域环境?这特码是工作组吧。头疼死了,其他段的域控制器不想搞了,遗憾的是没用到黄金票据等一些拿域控的操作。

0X03 总结

本文操作手法都为常规手法,主要在于免杀 ,没有免杀则没有灵魂。本人对免杀略知一二,下面放上我们团队微信群供大家交流分享,本人也会把常用的免杀工具分享给大家!最后欢迎各位大佬来一起交流!等你!

原创文章,作者:运营,如若转载,请注明出处:http://www.csxxaq.com/yc/506.html
记一次内网实战之不会免杀(上)
« 上一篇 05-13
能顷刻烧毁电脑的“USB杀手”
下一篇 » 05-14

相关推荐

Joomla漏洞总结

以下文章来源于黑白天 ,作者kevinJoomla 3.0.0 -3.4.6远程代码执行(RCE)漏洞复现漏洞描述Joomla是一套内容管理系统,是使用P...

红队防猝死手册

文章来源:https://github.com/zhutougg/RedteamStandard一切为了不丢分工作环境工作时全部操作均在虚拟机中完成虚拟机...

渗透某勒索服务器

这是 酒仙桥六号部队 的第 74 篇文章。全文共计1300个字,预计阅读时长5分钟。文章来源:六号刃部 - 酒仙桥六号部队 事情经过和我一起合租的室友喜欢...

Android渗透工具集合

Android安全测试更多地被安全行业用来测试Android应用程序中的漏洞。下面将列举全面的Android渗透测试工具和资源列表,其涵盖了在Andro...