【小明渗透日记】小明要租房

L.N.

响应90大大的号召。。。。
这文章原本是发在90sec的，现在挪到ihonker

201x年12月10日    星期二    天气晴    宜搞站禁约炮

    我是小明，小鸡那日了狗的拉我到xx搬砖，工地不给住宿，于是小明要租房，东走走西找找，花花花两天过去了，累成了狗，无赖之下找到xx中介，3000大洋中介费，我滴那个娘啊！看见他宣传单下角的网址，默默交了钱拿着宣传单回了家。

0x01 引言
    渗透、搞站、日网在相关书籍当中基本没有说关于渗透理论的知识，书籍中基本都是工具的使用+各种小方法和小技巧，很多公式性的东西都是大家常年搞站和朋友一起交流出的结果。在渗透中“渗透3通道”是总结出的一个特别好的结论。（ps：一定是我不喜欢看书）
    渗透3通道：命令执行通道（渗透路线）、文件传输通道（大量数据拖取）、权限控制通道（木马后门控制战果）
    本文只通过小明实际案例说下命令执行通道，其他的请期待以后的小明渗透日记。

0x02 命令传输通道模型

这个是目前最好使用的命令传输通道（当时里面也有很多坑，在特定环境还需细微改动），在以前很多老文章中会出现的老工具如：hd、lcx、xsocks、ssock、reDuh等等都不是太好用。


0x03 寻找网络边界短板
    二级域名测试、旁站测试、c段测试是常用的是手法，不知道大家还记不记得我在《【小明渗透日记】追寻女神》中说到过关于网站业务和功能分析，我们可以通过寻找业务关联网站和新业务网站（最新的和最老的往往是出现漏洞几率比较高的地方）。
    通过查询目标各种广告和宣传，找到了近期的几个活动，不负众望，sqlerver 2008 sa权限注入，此过程不详述，都懂的windows2008+asp.net+sqlserver2008 构架的网站。sa权限注入，开xp_cmdshell,system权限，全程无尿点，但也遇到了坑，加不了账户360拦截着，于是用xp_cmdshell echo了菜刀一句话，找到sa密码用菜刀链接数据库，使用xp_cmdshell执行命令，使用
procdump.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp
dump lsass.exe内存回来，然后本地使用：
mimikatz # sekurlsa::minidump SUPERCOMPUTER_lsass.dmp
mimikatz # sekurlsa::logonPasswords full

抓取明文，在搞其他目标的时候遇到相同的构架其实也遇到了其他很多坑，比如开不了xp_cmdshell、加不了账户、有安全产品拦截等等，这只能靠自己平时积累了，没有哪一种办法是万能的。

    现在我们找到了突破口，一个ipconfig /all 跳出来了域，是一个域环境中的机器，幸运的是明文抓到了域控账号（其实也是情理之中的，因为我们搞的是新活动，管理员还在调试，肯定经常登录这台机器，这也算搞新活动的一个优点吧）
    通过DNS初步确定了172.13.x.x是域控，下一步就该上域控拖东西了。关于什么域探测啊之类的文章多的很不累诉。


0x03 搭建命令传输通道
    1.reGeorg：Http socks5工具

    下载地址：https://github.com/sensepost/reGeorg
    使用：目标是.net的于是传文件中的tunnel.aspx上网站目录，然后本地执行

-p参数：指定socks5端口
    -l参数：执行本地地址默认为127.0.0.1，最好使用-l参数改成0.0.0.0，这样很好的使用proxifier在windows上连接
    2.proxychain和proxifier
    在kali下修改/etc/proxychains.conf 之中

直接修改sock4 127.0.0.1 9090 为 sock5 127.0.0.1 8090
    使用：proxychains 工具 工具参数
    3.windows下使用proxifier
    下载:百度各种破解版
    配置：结合我们上边reGeorg工具开的socks5，由于我们使用的是0.0.0.0，我们可以在windows上连接。我kali虚拟机ip为192.168.56.131
    工具栏profile-->proxy servers-->add

工具栏profile-->proxification rules 修改default策略的action栏为direct。好了各种ok。
    使用：我如我们想哪一个工具使用代理就直接右键-->profixier-->你自己配置的proxy，我使用mstsc.exe连接域控

4.psexec.py
    这个工具让我们很好的有一个命令行去控制目标，为什么是py的呢？为什么不用psexec.exe,大牛告诉我psexec.exe是会在目标上建服务并且退出的时候不会删除的，所以还是psexec.py或者有个wmi版本的也可以。
    下载：https://github.com/nick-o/impacket（psexec.py是impacket包中的东西，里面还有其他有意思的东西）
    使用：下载好后先安装python setup.py install,
               python pyexec.py administrator:password@127.0.0.1 cmd

ssh和scp为目标机为linux的时候使用，由于此次目标为windows域，在此不多说。
    命令传输通道搭建玩了，我们可以尽情的使用本地linux和windows上的任何工具，再说下里面的坑：

    坑1：使用reGeorg时候，由于目标的脚本环境各种不同，reGeorg可能会报错，需要自己修改个别地方使用，成功率：jsp>.net>php

    坑2：管理员在线的时候最好别上，使用psexec.py，在进程中可以看见一个随机数组成的进程名，一看就是有问题，所以搞站还得月黑风高

    如看官还遇见过其他的坑，请指导


0x04 拖域成员
    这篇文章中介绍了两种拖域成员的方法《windows server 2012 用户hash抓取方法研究（本地 域）》，本地搭建的环境和实际环境还是有很大差距的，里面有一些坑，需要自己填。
    我只说下我在本次渗透测试中成功的方法，不一定代表你在你目标中也能成功。

    ntdsutil.exe + QuarksPwDump.exe 是一个坑如果你导出的ntds.dit文件太大QuarksPwDump.exe 要报内存不足的错误（本地测试这个方法没有问题是因为你的ntds.dit文件太小(这个也是我猜测原因)，实际情况中ntds.dit一般都有几个G），所以我使用的是ntsutil.exe +PWPR(Passcape Windows Password Recovery)。
    1.ntdsutil导出ntds.dit和system，使用《windows server 2012 用户hash抓取方法研究（本地 域）》中方法是没有问题的
    #ntdsutil

    #snapshot
    #activate instance ntds
    #create
    #mount {GUID}
    copy c:\{挂载点}\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit (可手动复制)(新窗口复制)
    copy c:\{挂载点}\WINDOWS\system32\config\system c:\system
    #unmount {GUID}
    #delete {GUID}
    #quit
    #quit     2.PWPR(Passcape Windows Password Recovery)

    这个是一个收费软件（虽然有demo版本，但是不好用），破解版下载:http://www.ttrar.com/html/Passca ... overy-Advanced.html

    这个工具很强大，看官自己摸索，我只说下解域密码

里面有gpu破解，很快跑出来了

说下当我导出ntds.dit和system是怎么拖回来的，nsds.dit有2G，首先用rar分块打包（每块大小看自己网络环境），用资源共享net use，把它们传到web服务器的web目录下（这个步骤是内网比较快），然后使用迅雷或者什么百度云盘等各种云盘，给下载回来（自己网速不好就先离线）。这个过程有2个坑：
    坑1：打包一定要加密，太大必须分块，apache最大文件下载支持2G（亲身受害过），所以别被掉坑了
    坑2：一定要观察下网络中有没有什么流量监控设备（尼玛有一次下着下着就被发现了，打包后8个多G的邮件啊）

0x05 辛苦的后渗透阶段
    东西拖回来了，也解密了，我一直没说拖的域是什么域，其实是员工域，你懂的。得到了80%(有些没破解出来，nt hash 你懂不是lm hash)的员工账号密码。接下来就是累死人的阶段。

    邮件、vpn、各种内部系统， 怎么翻邮件已经在《【小明渗透日记】追寻女神》说过了。说下vpn，vpn在国内企业使用量最多的应该是深信服的sslvpn了，目标也是用的此种，登vpn有许多的坑。
    深信服sslvpn版本多，遇到好多种版本了，并且这样sslvpn用ie最好用，进去后的界面差距很大（功能设定上的），有点是直接给你几个按钮，你点击进入内部系统，有点是直接显示你能够访问的ip段或指定ip的指定端口，还有的进去是给你一个虚拟化桌面（你懂的，虚拟化桌面类似终端机，使用终端机绕过手法，进去使用此台机器做跳板）。然后就是登录vpn要多登录，可能你登录几个都没有权限（最开始我sb觉得是他vpn有问题，怎么进去不能用），多登录找到有权限的。
    各种内部系统，内部系统就多了，可以从vpn中发现很多内部系统，有3种系统是非常重要的：运维系统、文件共享系统、存储系统（有次遇到netapp，尼玛真是长见识了）。

    比如此次目标找到了运维系统，你懂的帐号密码拓扑图一大堆，基本就完整控制了全部网络，运维手册简直就是渗透路线指导书。

0x06 总结
    搞完之后，最后发现，尼玛有意义么？没意义！什么也没干，来也匆匆去也匆匆，继续交房租继续板砖。

凡火火。

沙发 看了 没懂 求详解

九零

没能看懂，自己的技术太渣渣了

bettypig

高手高手高高手!

r00tc4

学习学习技术，加油！

小龙

CHRIS

H.U.C—Prince

加油！干倒冰儿和酒仙！

Lucifer

支持中国红客联盟(ihonker.org)

admin1964

支持中国红客联盟(ihonker.org)