公众号:渗透师老A
专注于分享渗透经验、干货技巧以及网络安全心得。
作者:年轻的探索者
转自:[阿里云社区]
前言
年前部门举办了一场模拟对抗比赛,以下是我对此次比赛过程的简要记录,同时感谢导师给予的指导与支持。
渗透过程往往是一个试错的过程,所以我只会记录下过程中的有效步骤。
给定目标为一个域名,通过openvpn进行访问,我们首先针对该域名进行了子域名,得到诸如test.的子域名,并对这些子域名进行了批量目录扫描。
通过人工筛选过滤,我们发现了点:
第二层:我们发现CVE-2020-14882 WebLogic远程代码执行漏洞。利用一层跳板机对内部网络进行全端口扫描后,我们发现了一些有价值的信息。例如Apache FLink存在未授权上传jar包的远程代码执行漏洞。我们利用msf生成恶意jar文件执行反弹shell后,发现这是一个vulhub的docker环境。针对CVE-2020-14882和CVE-2020-14883漏洞的利用也取得了成功。然而在实际攻击过程中,某些安全软件如某杀软A对下载payload进行了拦截。为了绕过这些安全软件,我们编写了vbs下载器来下载免杀exe并执行上线。同时我们也通过计划任务和注册表启动项来维持权限。为了获取更多密码信息,我们还进行了一系列的操作如查看网段和工作组等。在某些情况下,我们甚至可以直接利用二层跳板机进行更深入的攻击。
第三层:我们发现微OA E-cology远程代码执行漏洞。使用二层weblogic跳板机作为代理进行扫描后发现了微OA的点。我们将powershell可执行程序复制到其他目录并重命名以绕过某杀软B上线CS等安全检测。进一步地我们通过搜集到的信息进行域内信息收集并发现域管理员运行的进程后,我们可以进行凭证窃取并利用DCSync获得域管理员权限并成功访问域控。最后我们将免杀cs beacon复制到域控并通过创建计划任务远程执行来稳固我们的权限。至此我们已经成功获得了域控权限。
此次对抗过程中原本需要通过渗透一台SQL server主机才能拿到域管的权限但由于防守队同学用域管登录了OA的主机简化了流程。对于这次对抗的经验教训导师总结如下:本号所分享内容仅用于网安爱好者之间的技术讨论禁止用于违法途径否则需自行承担后果本号及作者不承担相应的后果未经授权的渗透不要进行。(注:此段为声明部分不涉及正文总结内容)。
