记一次内网渗透实战

发布于 2022-03-28  1197 次阅读


写在前面

  这是一次并不成功的内网渗透过程,内网范围不算小,但是可以利用的东西并不多,怎么说呢,可能还是思路不够多,算是积累的一定的内网渗透的经验,第一次正儿八经的一次内网渗透吧。虽然没能打穿,有些问题还是值得记录一下的。

声明

  以下行为均在授权范围内进行,个人日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与本人无关。

测试过程

目标信息

  目标没什么好说的,一台NC6.5的服务器,手头刚好有工具,就直接进行利用。

image-20220325165302286

  对目标进行NC反序列化漏洞利用,还是个Administrator权限,剩下的就很好搞哇。

image-20220325165931164

打点

  能够执行命令,并且是Administrator权限,那么就可以NC反序列化这个漏洞把这台机器控下来。通过Cobalt Strike的Powershell的web投递上线。上线这台机器毫无难度,然后开始信息收集。

image-20220325171257717

  上线的过程比较顺利,由此猜想这台机器上并没有杀毒软件,后面经过查找也验证了这个猜想。

image-20220325171533930

  接下来就是横向的工作了。

横向移动

  首先是获取远程登录权限。由于这台机器是Administrator权限,这也就省去了提权的操作,直接抓取HasH。

image-20220325172253654

  经过解密,这个密码也不是什么强口令。不过这里犯了个傻,我傻傻的用公网地址去登录这台机器,在不知道3389端口映射情况下直接登录确实有够傻×的。
  然后就是解决这个远程登录的问题。上传隧道穿透的相关工具,把隧道搭建起来,使用私网地址进行登录。

image-20220325172651699

  设置代理

image-20220325172818759

  登录服务器

image-20220325173046662

  然后就是一系列的内网信息收集的工作,因为这台机器并没有在域内,所以要横向找到在域内的机器才有可能拿下域控。这中间没必要详细叙述,无非就是扫描器扫资产、查端口、爆破密码等等内容。
  在无聊的进行了一个小时的内网信息收集后,悲剧的发现这个内网并不大,资产很少,仅有一个网段启用。资产全部过一遍之后,只拿下了一台mssql服务器,还只能通过工具执行命令,并没有完全的控下来。

image-20220325175338749

  后面对这台机器收集了信息之后发现,这台机器是双网卡机器,看来完全控制下来这台机器对于扩大战果来说是很有必要的。再说回来,都收拾干净了这台双内网网段网卡的机器是多么的珍贵哇!
  后面验证了是否出网、能否使用powershell命令,答案是完全OK,我直接一个Powershell投递。然后就一直报错。

image-20220325175918598

  查了一些资料之后才弄明白是因为单引号''的问题,将命令进行base64编码后再进行执行,然后就来到了这次渗透的第一个难点上,这台机器有杀毒软件。

image-20220325180307915

  机器部署有Windows defender防火墙,且具有行为免杀的功能,最初想到了最近刚爆出的sqlps.exe,这个最终效果来看并没有很大的作用,在一个能够检测行为的杀毒软件来说这个东西基本上没有什么免杀性。
  对于我自己来说到这里基本上就僵了,不会免杀就很伤,不过好在有另外一位大师傅愿意帮我一下,就一起研究这个东西。不过,我们俩在于命令免杀上都不太行就换其他的思路——将命令免杀转变成文件免杀。
  怎么投递倒成了一大难点。系统没有wget,工具执行certutil出现报错,陷入僵局。

image-20220325181312639

  之后想到了通过echo命令直接写木马,直接将.exe文件写进去,然后就进行通过certutil -encode命令将.exe文件转换成.txt文件,然后通过echo命令输出成文件的测试,结果一直没能成功,执行后就出现more?的提示,不论怎么输入都不行。不明原因,猜想是可能是输出的内容太多导致命令无法执行。

image-20220325182351103

  除此之外免杀的思路中还有使用平替命令的思路,就想到了bitsadmin命令

bitsadmin /transfer <mission_name> <remote_url> <local_name>

  不过一样,还出现了不同种类的报错,"用户未在网络中","一般性网络错误。请检查网络文档"等等。

image-20220325183038622

  走投无路哇!又想起了powershell下载,抱着不知道什么心情的的心态试一试(人已经麻木了)。为了增加成功率,我们将木马上传到内网的web业务中,让mssql服务器去请求,尝试了txt文件后发现下载成功,然后上传进行了静态免杀CS木马。虽然最后成功上线,但还是存在一些问题,由于上线用户为mssql服务的用户,没有足够的权限,杀毒软件能够进行行为查杀,所以没办法,挣扎着上线掉线好几次之后,这边也就放弃了。

总结

  1. 登录远程桌面过程中的问题
  2. 免杀的问题
  3. 文件投递的问题

  这次内网渗透过程中思路还是比较少,不过慢慢积累嘛,后续如果又学到一些新的技术,遇到了类似的场景,后续还会继续针对这些问题继续更新。