记一次内网横向破解管理员密码
前言本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
外网打点
首先一波信息收集过后,把最后收集的到的 url 拿到 httpx 去做一下存活检测
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/3f88abf1-2ae9-4f81-9fd3-a2012f0344be.png
httpx 测活一下
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/719ce1ac-8dea-4b26-9e9c-a5fe6ddbb949.png
测完活之后,搞波指纹
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/936bc40e-2f42-4dc2-bf6c-21757229323e.png
指纹到手,这边一般我都是拿高危指纹去漏扫一下
然后找到了一个站点
GETshell
之后找到了一个站点
直接访问如下,相信这种情况很常见,别急,其实还有利用空间,然后我对它目录扫描了一波
发现竟然有
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/7fe6ae18-5276-4f97-a613-f89c2eddd3d4.png
/api/actuator 泄露,这个利用的手法很多
【----帮助网安学习,以下所有学习资料免费领!加vx:YJ-2021-1,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
先遍历访问一下常见的接口
但是这个点接口权限不够,比如常见的 env 和 heapdump 访问不到
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/c1951f06-eeb5-4495-854e-a93a14de7323.png
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/31680e71-93aa-434c-bacb-6afecf7f6794.png
决定溜了的时候发现 bp 我的 dns 平台传来了动静
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/37628126-ec77-465f-9b6c-c2294f7af8d5.png
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/31f6b564-4282-4d44-a174-144dfe373cc6.png
竟然有 log4j
呜呜呜,网上一堆工具,打 log4j 都到完全自动化的地步了
CS 生成一个命令,上线到 cs 上,因为不好传文件,就执行命令
07/23 15:13:23 beacon> shell whoami
07/23 15:13:23 [*] Tasked beacon to run: whoami
07/23 15:13:23 [+] host called home, sent: 37 bytes
07/23 15:13:23 [+] received output:
xxxxxx\administrator
内网启动
内网信息收集
首先简单看下内网的网段
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/40fbbac9-424d-42f6-9cd3-4ab640f3f6cf.png
找到了内网之后我们就需要查看存活情况了,我的 fscan 没有免杀,这里只能随便看看了
随便 arp-a 看了一下
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/94ba9c05-065a-4821-9653-cb357b0d6fbc.png
发现 c 段的主机还是很多的
systeminfo
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/89f742f2-34f3-4145-bcd6-8eea83b081bf.png
win2012 的用户,不过已经是高权限了,也没有必要提权了
然后我发现在域的时候我就先不管了,先找找凭据
凭据收集
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/adc4d8e5-0dbb-4c47-8043-18c570715819.png
这里没有抓取到密码
然后自己尝试了半天,大师傅提示了一些东西,我觉得这个思路也不错,下面讲讲是如何突破的
突破
当时因为还拿下了一台主机,而且是同一个内网的
查询连接信息的时候查到了之前的那个内网,我就想着可以尝试使用 DPAPI
DPAPI 是 Windows 系统用来加密敏感数据(比如用户保存的密码、浏览器凭据、无线密码等)的一个加密机制
MasterKey 就是一串“主密钥”,是每个用户登录 Windows 后系统自动为其生成的,用来加密和解密数据的“钥匙”
流程
[ 用户口令 → 派生 Key1 ] ← 用来加密 MasterKey
↓
[ MasterKey ] ← 用来加密 DPAPI 中的密码等敏感数据
↓
[ 某个应用的数据(如 WiFi 密码) ]GUID : {3cef9fc0-4319-42da-80ff-9e74470a9f7c}
Time : 2025/2/4 0:23:08
MasterKey : aed5fc1156359826c231e1079996c769cf1ee...
sha1(key) : deb68bc117a3323d424a7d21a86173438e2419f7 https://www.yijinglab.com/headImg.action?news=42e41318-5b02-4e20-a76c-19feea547a5c.png
Master Key Files
存放密钥的文件则被称之为 MasterKeyFiles,其路径一般为 %APPDATA%/Microsoft/Protect/%SID%。而这个文件中的密钥实际上是随机 64 位字节码经过用户密码等信息的加密后的密文,所以只需要有用户的明文密码/Ntlm/Sha1 就可以还原了。
当然除了 GUID 命名的文件之外,还有 Preferred,显示当前系统正在使用的 MasterKey file 及其过期时间
我这里去寻找一下 amdin 的凭证
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/72b7002e-6efb-4759-8e7b-e776c57d70e6.png
直接拿最新的那个
然后去获取 guid
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/c0f06252-8cc4-4db2-a329-916127ff4079.png
之后通过这个 guid,我们去寻找 masterkey
首先需要把全部的 masterkey 找出来
mimikatz sekurlsa::dpapisekurlsa::dpapi 会从 lsass 中提取当前用户登录会话的 DPAPI MasterKey 解密材料(如密码、hash、SID 等),用于离线解密各种 DPAPI 加密的凭据文件
因为内容很多,直接把结果复制到记事本
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/5ff34fac-f300-40a8-bf27-cf86e6798e06.png
然后搜索一下
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/4d168d8e-d11d-4ac6-82f4-535f96b54203.png
太好了,找到了,然后我们直接去破解
mimikatz dpapi::cred
/in:C:\Users\Administrator\appdata\local\microsoft\credentials\xxxxx /masterkey:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxhttps://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/b46e3261-a31c-4f2b-8e38-44c839e47d65.png
直接获取到了管理员的密码
而且这个密码应该是集团的通用密码,后续发现这个这个内网网段的管理员都是这个密码
远程其他网段的桌面
https://www.yijinglab.com/guide-img/d9634e2f-3b66-42e7-8279-c0877cdd70e5/e7d0e2a2-b9ea-4ae1-8a79-c54bb2b2645a.png
利用这个密码,横向了大概有 9 台主机
更多网安技能的在线实操练习,请点击这里>>
来源:豆瓜网用户自行投稿发布,如果侵权,请联系站长删除
页:
[1]