请选择 进入手机版 | 继续访问电脑版
查看: 3521|回复: 17

对国外某内网渗透的一次小结

[复制链接]
  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-3-14 12:00:21 | 显示全部楼层 |阅读模式
    本帖最后由 wuyan 于 2016-3-14 17:34 编辑

    首先承认我有罪,大罪。好吧,看文章吧,请认真回复,你们的认真回复是对我最大的支持。

    想来想去,不知道叫啥名字好,还是这个名字比较低调有内涵一些。Shell很早就有了,No0d1es同学给我的。服务器是jboss,看样子是前段时间爆出的java凡序列化漏洞拿的shell。
    图片1.png
    好吧,jsp的,不出意外,权限很大,果然是system权限。
    图片2.png
    这时候,ipconfig看一下,发现是内网啊,可是我自己也是内网耶,双内网渗透怎么玩?好吧,其实是可以得,搞个正向代理过去,通过webshell做流量转发,就可以打通内网和攻击机的通道了,但是速度慢的出奇。传一个reGeorg脚本就行了,具体怎么玩,请百度reGeorg+proxychains。没办法,只能等啊,等啊等,用nmap扫了整个网段一下午,(然后就去上课了)。好吧,晚上看的时候终于出来了,但是信息很不全面,只看到了几个ip开放了端口,有些扫不出来,我也不知道怎么回事。这时候我就想啊,竟然可以通过websehll来代理,那么我们可不可以写一个jsp脚本来让被我们控制的主机扫描下内网呢,当然是可以。百度一下,乌云还真有人写了,不过是对http服务探测的。(不要问我为什么不自己写,代码功能完善中.......)。好吧,我是代码渣渣,大致收到了一些信息地区是开了web服务的
    图片3.png
    Web服务尽收眼底。我们用proxychains,进去看看,看看217那个Ip的web服务吧。这里很卡,没办法,要是我有外网的话,自己就反代过去日了。(真慢)。双内网的玩法,大家可以参考下,尽然示范结束那么就开始啪啪啪搞内网了。
    明确目标:1.如果没有域的话,只是几个简单的不同业务的服务器,那么目标就是尽可能的搞下多台机器啦
    2.如果有域的话,想办法搞定域控就ok了。搞不定的话,就渗透你想要去渗透的那个业务,或者尽可能搞下多台。
    0x0x1信息收集
    Net view一下
    图片4.png
    看看有多少个域
    图片5.png
    Just one.
    看看本地管理员组的用户有哪些。
    图片6.png
    看见Administrator了吧,本地管理员组,
    GREIF-BR\Administrator
    GREIF-BR\bdamasceno
    GREIF-BR\Domain Admins
    GREIF-BR\koniz
    GREIF-BR\lynas.support,这些都是域管理员用户,说白了就是域管理员用户默认是域里面任何一台机器的本地管理员组,所以说,拿下了域管理员用户,基本可以登录域内任何机器。
    那么问题来了,怎么得到域管理用户(domain admins)。其实别人也有总结。我简单的分两类,第一:搞下域控,直接在里面加域管理用户.(条件比较苛刻,就是必须用域管理员用户登录域控,再加一个域管理员用户)哎,将这些名字,是不是晕了呢,(ps:聪明的你一定能看懂,当然你看不懂的话,请联系青少年脑瘫治疗恢复中心,哈哈哈)。第二:搞到已经存在的域管理员。(两者就是和web渗透抓明文和添加一个管理员一样的意思)。好了,有了这些概念,那么开始撸吧。

    看看域成员有哪些
    图片7.png
    看看域管理组的成员
    Net group "domain admins"/domain
    图片8.png
    再看看域控吧。网上有多条命令
    Net group "domain controllers" /domain”
    图片9.png
    竟然有这么多域控,我们随便nslookup看看
    图片10.png
    Ipconfig /all后找到dns服务器
    图片11.png
    Dns很有可能就是域服务器。Ping下发现也是这个ip,好吧,基本确定域控的ip了10.14.1.236。
    回到原题,域控找到了,现在想办法搞到域管理员。分为这几类
    1.溢出域控(常见08067或者dns溢出之类),溢出后抓明文或者加用户,随你遍
    2.对域控进行弱点入侵,扫描并探测web,sqlserver,mysql,ftp等等一大堆服务。通用密码,发现密码规律,或者社会工程学猜解。
    3.钓鱼,在已经拿下的机器丢个键盘记录器之类的,等待域管理员账户登录那天。
    4.本机抓hash,抓明文(方法和工具太多了)。
    现在有外网了,这里我就不一种一种尝试了,直接上配置好payload,上msf了。
    5.msf有个令牌假冒,这个完全看人品。
    图片12.png
    图片13.png
    抓明文抓不到,不过这时候No0d1es给我介绍了另外一种方法
    图片14.png
    最后行了,密码芭啦芭啦。
    图片15.png
    看到domain就慌了,domian不是域本机名,我猜是域管理员,不是本地管理员。
    果断msf端口转发过去,登陆试试。
    图片16.png
    啪啪啪,登陆域控试试。
    图片17.png
    发现30也是个域控
    图片18.png
    图片19.png
    好吧,太卡了,截个图撞装下逼。
    图片20.png
    到此,域里面的任一台主机可以控制了,话说回来,当天还搞了另外一个内网,也是个域环境
    ,发现有个av的主机,登陆上去一看,傻眼了
    QQ图片20160314115831.png
    ,最后说一句,你不与人分享,谁与你分享,大家还是切勿浮躁,勤勤恳恳,脚踏实地的学习吧,别再水了,谢谢。(还说一句,在论坛做黑产的不要找我了)
    哦,最后是广告时间,招人招人,有才华的展示才华,有理想的和我谈理想,谈人生
    http://www.ihonker.org/thread-6130-1-1.html

    评分

    参与人数 3i币 +35 贡献 +1 收起 理由
    茈羽 + 3 学习了
    C4r1st + 20
    90_ + 12 + 1 支持原创

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-9-24 17:13
  • 签到天数: 187 天

    [LV.7]常住居民III

    发表于 2016-3-14 12:38:55 | 显示全部楼层
    难道我是沙发,
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    3 天前
  • 签到天数: 928 天

    [LV.10]以坛为家III

    发表于 2016-3-14 12:39:13 | 显示全部楼层
    这次比较完整,但有些细节处理的还不是很好。
    在msf上绕了一些弯路

    点评

    是的  详情 回复 发表于 2016-3-14 13:04
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-3-14 13:04:23 | 显示全部楼层
    90_ 发表于 2016-3-14 12:39
    这次比较完整,但有些细节处理的还不是很好。
    在msf上绕了一些弯路

    是的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-12-3 15:52
  • 签到天数: 49 天

    [LV.5]常住居民I

    发表于 2016-3-14 13:17:50 | 显示全部楼层
    虽然看不懂,但是正在学习相关知识,膜拜一下大神
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2020-8-25 09:43
  • 签到天数: 419 天

    [LV.9]以坛为家II

    发表于 2016-3-14 16:21:18 | 显示全部楼层
    这是我第二次见你这么6[快哭了][快哭了]

    点评

    怎么样?服不服我,文章逼格高不高  详情 回复 发表于 2016-3-14 16:58
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-3-14 16:58:06 | 显示全部楼层
    白哥哥 发表于 2016-3-14 16:21
    这是我第二次见你这么6[快哭了][快哭了]

    怎么样?服不服我,文章逼格高不高
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-10-1 06:59
  • 签到天数: 308 天

    [LV.8]以坛为家I

    发表于 2016-3-14 17:14:16 | 显示全部楼层
    我在山底仰望无言大婶

    点评

    别这样说,很多地方还要向你学习呢  详情 回复 发表于 2016-3-14 17:30
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-3-14 17:30:06 | 显示全部楼层
    sladjfksld 发表于 2016-3-14 17:14
    我在山底仰望无言大婶

    别这样说,很多地方还要向你学习呢
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-11-2 23:21
  • 签到天数: 220 天

    [LV.7]常住居民III

    发表于 2016-3-14 18:13:29 | 显示全部楼层
    学习大神一波操作。。有个比较水的问题,我的kali装在虚拟机里,然后学校网不能用桥接。。怎么可以接到反弹的shell啊?或者能桥接的话有什么方法可以接到。大神有没有这方面的文章啥的,分享一个,我百度了一波,语文实在捉急==跟百度表达不明白这意思

    点评

    要映射端口的  详情 回复 发表于 2016-3-14 18:41
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    快速回复 返回顶部 返回列表