記一次真實的域滲透經歷(從檔案上傳到拿下整個域控)
這是一次真實域滲透的記錄,是在上個期末考試前一段時間完成的,距現在也有幾個月了吧,但是由於漏洞的修復以及一些隱私的涉及,我沒有立刻寫這篇文章併發出來,這裡面沒有太多的高大上的漏洞利用技巧可言,寫這篇文章的目的就是想展現一個真實域環境的滲透過程。
0X01 發現上傳點
1.上傳點中的玄學
事情的起因是另一個師傅發現了一個上傳點,然後我們就一起玩了起來,不過說實話,整個 getshell 的過程異常神奇,或許這就是實戰中的玄學吧
如圖所示:
掃了一下目錄,發現upload 目錄能訪問,我就去看了一下,結果如下
如圖所示:
發現不僅有列目錄漏洞還發現了一個 default.aspx,訪問一下看看
如圖所示:
2.檔案上傳 getshell
我去,這也太真實了吧,真實環境就是這麼脆弱(當然這是因為找的是一個大網站的一個非常小的子域名進行的挖掘,要不然也不會有後面的域滲透了)
然後就是嘗試上傳檔案,我發現上傳的內容會被放在 file 目錄下,更加神奇的就是 file 目錄居然能解析 aspx 檔案,這簡直就是在送網站,我當然也不能放過這次機會,這時候就出現了兩種選擇,一種就是直接上傳一句話然後用菜刀,但是我覺得對於這種執行 IIS 的 windows 的系統來講,想要更加直觀地獲取更多的資訊(比如判斷內網,掃描埠等)最好的方式還是傳一個大馬上去,於是我就直接上傳了一個經典的大馬拿到了 shell
如圖所示:
0X02 資訊收集
注意大馬的左上角的 ip 地址,看到這裡我渾身的血都沸騰了,有內網!終於能在現實中來一波域滲透了。
1.埠掃描:
如圖所示:
可以看到開了 3389 ,這時候其實我們心裡已經大概有數了,如果這個 3389 對外開放,那麼我們拿到使用者名稱密碼以後就直接遠端桌面
2. 系統資訊
如圖所示:
看到 伺服器是 IIS 7.5 ,這明顯是一個存在多個漏洞的版本,但是卻沒怎麼用到,我已經進來了,然後我又輸入了 systeminfo 命令,發現這臺主機是 Windows server 2008 r2 ,這裡就不放圖了
3.其他資訊
我還通過大馬本身的功能大致瀏覽了一下其他一些零零碎碎的資訊
如圖所示:
還有我發現了其實這個機器是一個 VM 的虛擬機器
如圖所示:
其實現在企業大部分的內網都是一個又一個的虛擬機器,這也是很正常的
4.ipconfig /all
在擁有了該臺主機的使用者資訊、埠資訊、主機資訊以後,我還要做的就是進行橫向的擴充套件,因為這臺主機在內網中,我需要知道更多,我想判斷內網的情況,於是 ipconfig 這個命令首先映入腦海
如圖所示:
我們重點看幾個位置:
(1)DNS 伺服器:實際上如果你有一定的域滲透經驗,你就會知道域控往往就是 DNS 伺服器,所以我就首先將域控的範圍放在 10.1.30.8 和 10.1.30.250 ,並且你還要能看到這個 ip 段已經不再是我們看到的這臺主機的 ip 段 10.1.8 段了,而是直接跳到了 10.1.30 段,我當時就預感到這個內網的龐大
(2)DNS 字尾:這能幫助我們知道我們這臺機器在哪個域中,因為很明顯我們已經知道這個域不是單一的域,而是一個林
4.arp -a
在沒有進行內網掃描以前,使用 arp -a 進行簡單的判斷是非常必要的,於是我也進行了嘗試
如圖所示:
可以看到這個段的主機也是非常的多的
5.net view (/domain)
已經確認了域了,我們就可以看一下當前域的主機有哪些(因為涉及到公司的隱私,我無法將主機名完整的呈現出來,但是我留出了關鍵的部分,那個 xxxx-new,如果你仔細看上面的圖的話,你會發現當前主機的主機名就是 xxx-new)
如圖所示:
當然我還想看一下有哪些域,這時候可以使用
net view /domain
這裡我發現了兩個域,同樣因為隱私,我就不貼圖片了,但是你要知道,其中一定有一個域的名字和我們上面看到的 dns 字尾名是一樣的。
6.內網主機掃描
在大致瞭解了內網的域的情況以後,我選擇了對內網的範圍進行掃描,由於是在內網,自然需要內網穿透工具的使用,這裡我使用的是 reGeorg+Proxifier 滲透內網 具體的使用方法可以參考我的這篇文章
掛了代理以後,我這臺筆記本就順理成章地成為了他們內網主機的一員,我選擇使用圖形化介面的 nmap 開掃
如圖所示:
可以看到主機大多數都是 2003 和 2008 的並且 445 都開著,那我要是現在有個勒索病毒是吧,整個內網就炸了,可見內網的脆弱性不是你想的那麼簡單
當然除了使用這種方法以外,為了獲得更多的資訊,我使用了一些有關網路請求的命令,例如 ping nslookup tracert 等,最後還是有了新的發現,在我 nslookup 域控的時候我又發現了更大的內網範圍 10.2.32 段,這個有點大,我有點緊張,現在已經跑到了 10.x 段了,這的有多少啊。。。
如圖所示:
7.社會工程
除了這些硬傢伙以外,在滲透過程中的軟實力也不能少,我大概通過菜刀翻閱了一下這個網站的目錄,果然被我發現了一個手冊,手冊裡面寫著這個網站某個頁面的示例使用者名稱和密碼,我一看就樂了,絕對有人就是直接用的這個手冊給的使用者名稱和密碼(懶啊)
如圖所示:
然後我就真的到了這個網站的對應頁面,輸入了 U1234 和 168168 真的進去了,我笑了
如圖所示:
然後又是一番探索,我發現了更多的網段
除此之外還有很多的使用者名稱資訊等,他們的線上情況我都一目瞭然
0X03 提權幹3389
收集了這麼多資訊,其實就是想弄清楚我面對的內網的樣子,大致的拓撲結構,但是對於 windows 系統,我最希望的還是上 3389 看一看,這裡其實就是提權了,當然這裡我使用的方法並不是提權而是社工(當然我也嘗試了在大馬中直接提權,也是成功的)
先看下當前使用者吧
如圖所示:
我們發現這臺主機除了 administrator 使用者以外在 admin 用於組中還有一個頗為神奇的使用者叫做 bibo ,更為神奇的是他的密碼也是 bibo(按理講 windows server 2008 是不允許設定這種簡單密碼的,我真不知道這個是怎麼實現的) ,於是我又笑了
其實我就這樣進去了,但是為了說明一下提權,我也做了嘗試
如圖所示:
進去以後先看了一下基本的資訊
如圖所示:
可以看到我們就是在之前我們所說的那個域裡面
再看一下網路資訊
如圖所示:
我發現這個內網是沒有直接連線外網的,也就是無法從這臺主機向外網發起請求,實際上這部分資訊在資訊收集部分我也做了,使用 ping 外網地址的方式試探
0X04 橫向滲透
拿了一臺主機這麼能滿足我的熱血?肯定要橫向滲透,這橫向滲透利用到到一定的社工以及資訊收集的方法
1.找同一個管理員控制的主機
我們知道不可能一個管理員只控制一臺主機,往往是控制多臺的,於是在使用 win + r 的時候自然而然就會留下輸入的記錄,於是我就特地看了一下,然後真的有發現
如圖所示:
我發現了 10.1.8.22 主機,根據我之前你的分析也臺主機很有可能也是這個管理員一手管理,我嘗試登入
如圖所示:
登陸成功以後,我重複了之前的步驟,對其進行了有一番資訊收集,
2.找域控 web 管理頁面
往往在域控中會有一個 web 管理介面,這個介面也是方便管理員對整個域進行管理的,其實這個也是在我上傳了局域網掃描器進行了詳細的掃描以後發現的,原來我也不是很清楚有這個東西,並且它的密碼預設是寫在輸入框裡面的,可能是因為是內網?我也不懂
如圖所示:
然後我就進去看了看,當看到計算機和使用者的數量的時候有點害怕。。
如圖所示:
我還明顯的看到一共有5個域控,而不是我之前找到的兩個,也就是說,整個內網的環境非常的大,比我想的要大得多得多
如圖所示:
0X05 拿下域控
到此為止實際上整個域已經被我拿下來了,但是還有一點不足,我還沒通過 3389 登域控伺服器呢!怎麼登,密碼是啥,還是逃不掉啊,我還是要執行 dump 密碼的工具先看看
如圖所示:
我順利地拿到了 administrator 的密碼,但是這其實並不一定是域控的密碼,但是還是要試一試,畢竟從這個域的管理員的習慣來看,太有可能了
如圖所示:
好了,成功3389 登入域控伺服器,到此為止一切都結束了。
0X06 總結
這篇文章沒有太多滲透的奇淫技巧,但是全篇文章完整的記錄了我滲透的大致過程,整個滲透由點及面,涉及最基本的資訊收集、社工、提權等,但由於是幾個月之前的截圖,現在又拿出來整理寫成這篇文章,過程難免有些疏漏,還望大家指正。 另外這次的滲透是我與另一個師傅一起,屬於授權滲透,我在寫文章的過程中也非常注意敏感資訊的隱藏,目前漏洞已經修復。還請大家不要在沒有經過授權的情況下隨意的測試大公司的網站,以免揹負不必要的法律責任。