目次
フロントエンド時間は攻防訓練活動を終えたばかりで、成果の 1 つは、特定のグループのドメイン コントローラー権限を獲得し、ドメイン内の 5,000 台を超えるホストを直接制御することです。以下は全体的に比較的簡単な攻撃プロセスの大まかな記録です。
ウェブ管理
上位から発行されたターゲットユニットを受け取った後、まずこれらのユニットに関する情報を収集し、メインドメインをバッチで抽出し、次にサブドメインを抽出して生存を検出し、次にCDNを検出して実際のIPを抽出する必要があります。すべてのポートのスキャン、高リスク URL の脆弱性のスキャン、指紋認証など。もちろん、このプロセスは Python スクリプトを記述することで半自動化されており、依然として非常に高速です。将来的にはナレッジプラネットでスクリプトを公開する予定です。
サブドメインの脆弱性をスキャンしても結果は得られず、指紋識別結果を観察すると、いくつかの Lanling oa システムが見つかりました。
検出にはoa専用の脆弱性検出ツールを再度使用します: GitHub - cseroad/Exp-Tools: さまざまなexpを統合する実用的なツール
スタートツール
java -javaagent:Exp-Tools-1.1.6-encrypted.jar -jar Exp-Tools-1.1.6-encrypted.jarこのツールは「Landray_treexml_rce 脆弱性」があることを示しています
脆弱性を悪用するツールを長い間探してきました: GitHub - Tas9er/LandrayOATreexmlRCE: LandrayOATreexmlRCE / Lanling OA Treexml Remote Command Execution
ドメイン名のグローバル ping により、ドメイン名が CDN を使用しておらず、実際の IP であることがわかります。そしてそのIPはクラウドホストではなく、3大事業者のいずれかに属します。この場合、IP はイントラネットに直接接続されている必要があり、ホスト権限を削除することでイントラネットに入ることができます。行く!
リバースシェルと権限のメンテナンス
bash リバウンドシェルを直接実行して通常のユーザー権限を取得しますが、ここで権限を昇格する必要がありますか? 答えは「いいえ」です。現在のホストは Linux ホストであり、権限の昇格には時間がかかる可能性があるため、いつでも権限の昇格は必要ないことに注意してください。現在時刻は緊急であり、Linux ホストが取得できる確率はパスワード情報が不足しています。現在のホストがイントラネットに入る踏み台として使用される可能性があります。
bash でバウンスしたシェルのため、現在のシェルは不安定でタブを付けたり削除したりすることもできませんが、Python を使用して対話型シェルを生成します。シャットダウンを防ぐために、まず権限を維持します。マシンがネットワークから外れたら、まずシェルをリバウンドするタスクを計画します。
スケジュールされたタスクには /etc/crontab と crontab -e の 2 種類があり、前者は管理者のみが追加でき、後者は一般ユーザーが追加できるため、権限を維持するためにスケジュールされたタスクを追加するには crontab -e を選択します。
ホスト情報の収集とリバース プロキシ
ホストの過去のコマンド レコードとファイルの内容に関する情報を収集するだけで、パスワード情報などが存在するかどうかを確認できます。次に、frp をアップロードしてプロキシを構築し、イントラネットに直接接続します。
次に、内部ネットワークのヘルスケアのために fscan をアップロードすると、いくつかの結果が次のようになります。結果が得られたら、脆弱なパスワードの爆発を急いで見ないでください。ただ調べてください。DC とマークされたマシンが表示されます。このマシンはドメイン コントローラーである可能性があります。つまり、ドメインが存在する可能性があります。このイントラネット。
ドメイン コントローラーは直接配置されていますが、現時点ではドメインの外にあります。ドメイン コントローラーを停止するにはどうすればよいですか? ドメイン コントローラーの脆弱性: CVE-2020-1472 があり、ドメイン ユーザーがドメイン コントローラーにアクセスできる限り、ドメイン ユーザーを取得しなくても攻撃される可能性があります。ただし、この脆弱性は非常に危険です。DC パスワードを空にし、ドメイン ユーザー ハッシュをエクスポートして、ドメイン コントローラーに接続し、最後に DC パスワードを復元する必要があるためです。そうしないと、ドメインの外に出てしまいます。とても危険です。
ドメインコントローラーを攻撃する
ツールを使用してドメイン コントローラーに脆弱性が存在するかどうかを検出し、存在することを確認します。ここでスクリーンショットを撮ることを忘れないでください。
1. DC パスワードを空にします
2. ドメイン内のハッシュをエクスポートする
3. Wmiexec がドメイン コントローラーに接続します
接続成功
管理者であるかどうかを確認すると、現在のホストが管理者グループに属していることがわかります。
新しい管理者アカウントを直接作成し、3389 接続を開始して、アクティブ ディレクトリに入ります。
ドメイン内のマシンの数を数えます。ホストには PowerShell がないため、統計の最も原始的な方法である Excel の方法を使用します。
ドメイン内のホスト数: 1976 x 3 = 5928
最後に、忘れずに DC パスワードを復元する必要があります。復元しないと、ドメイン制御が終了します。
これにより、ドメイン コントローラーの権限を維持できます。本当はcsを起動したかったのですが、馬を殺さないとアップロードしても天青のせいで実行できませんでした。
ドメイン コントローラーを削除しても、これが終了するわけではありません。削除されていない機密データがまだ多く存在するため、引き続き機密データを収集する必要があります。記録がない