鑽石舞台

大家好，這裡是 滲透攻擊紅隊 的 RedTeam 系列文章，我是 saulGoodman ，對於本文的這些技術分享來自於我的知識星球：滲透攻擊紅隊，公眾號以後花費的精力會比較少，目前注重於知識星球的維護和更新 RedTeam 文章，歡迎各位來我星球學習交流！

一次攻防演練中首先是團隊拿到了一個 Webshell ，後續又把權限彈到了 CobaltStrike 方便我來做內網滲透：

通過發現當前機器是一台公網服務器，只有公網 IP：xxx.xxx.xxx.16

通過查看 arp 緩存發現當前是有一些公網機器的：

通過查詢這些 IP 發現是"某網絡"，而且通過 Nbtscan 發現當前 C 段有主機存活：（初步判斷當前 C 段機器有可能存在域，但不確定）

由於是攻防演練，拿到越多的分數越好，在這裡就不考慮一些其他問題，拿到當前機器後我抓到了明文密碼：

但是通過此密碼去利用 MSF 對 C 段進行密碼噴灑發現沒有一台主機被成功橫向出來：

就在這個時候我又掃了一下看看有沒有 MS17010：（一般來說向這種"某某網"基本上都有幾台存在永恆之藍，所以直接去掃就行）

發現 92、151、200 這三台是存在 MS17010 的，隨後打了 92 這台：

隨後 MSF 和 CS 聯動，我把 MSF 的 shell 又彈到了 Cs，並且做了權限維持：

這個時候其實用這兩台跳板機器就夠了，另外兩台存在 MS17010 沒必要繼續打，隨後我對當前 C 段進行信息搜集，對 Web 資產進行掃描存活發現大量 Web 資產：

通過手工分析發現一枚 SQL 注入，而且是 DBA 權限：

然後添加了一個管理員用戶然後開啟了 3389 （因為有諾頓，常規免殺沒時間弄了，主要拿分，索性直接登錄服務器）

而且直接通過 socks 連接不了，感覺是做了限制，後續發現使用 mstsc /admin 是可以登錄的：

這個時候我用 92 這台機器當作跳板遠程登錄到 71 桌面：

隨後克隆了 administrator 的桌面：

此時重新登錄之前添加的賬號到遠程桌面就是 administrator 的桌面了：

通過一系列的信息搜集並且翻密碼，拿到了 Mssql 和所有旁站的權限：

通過已搜集到的密碼去對 C 段繼續密碼噴灑成功噴灑出 C 段的一台 Mssql：xxx.xxx.xxx.239

後續直接調用 XP_cmdshell 執行命令，發現權限還很大：

隨後直接利用 bitsadmin 上線到 cs：

此時已經拿到了：16、92、239 這三台機器的權限，但是還沒有發現有內網，這個時候就陷入了瓶頸。

搞到這裡發現橫向不了，其他 Web 又不想用 0day 打，回過頭來用 MS17010 打下了 200 這台：

隨後通過同樣的方式把 shell 彈到了 CS 並且添加了用戶而且加入遠程桌面組：

隨後登錄發現登錄失敗：

這個時候利用 mstsc /admin 可以繞過並成功登錄到目標遠程桌面：

同樣的方式克隆了 administrator 的桌面：

通過信息搜集翻文件我發現了大量有價值的東西，比如 mstsc 登錄記錄：

拿到 navicat 數據庫憑證：

並且發現 Xshell 裡面有很多台 SSH：

裡面所有 Linux 主機都可被登錄，這個時候只需要利用 SharpDecryptPwd 把它們的密碼抓下來就好，但是發現出問題了：

後面用這玩意查看了密碼：（本來不想用這幾把玩意的，太麻煩得一個個的去查看密碼）

發現有幾台機器有 10 的內網：

通過已有的密碼再去橫向噴灑了一下 C 段的 Linux 主機：

然後彈了幾個 Shell 到 MSF：

至此這個公網的 C 段基本上已經穿了，大量核心數據庫、交換機、Web服務器都拿下，接下來就是對 10 的內網進行內網滲透。

因為我已經拿到了 root 的密碼，我直接掃了一下 10.10.10.1/16 的 B 段，有一大波資產，這裡就不截圖了，有幾百個，其中發現有 ESXI：

並且拿到了一個門禁系統：

通過特殊手段橫向移動拿下了 10 段的兩台 SSH，並且發現有第三層內網是 192 段、還有 docker 環境：

由於 10 段有 ESXI ，我直接利用漏洞拿到了 ESXI 雲平台，旗下所有機器都被控：

此時 10 段基本上已經穿了，接下來就是對 192 的內網進行滲透。

通過常規 fscan 簡單掃了一下 192 段，發現 192 資產也很肥：

然後又發現 MS17010 漏洞兩台：

現在梳理梳理梳理關係了，當前環境是這樣的：

下篇文章就是對 192 網段的內網滲透，下一篇文章會發布到我的知識星球，下次再見！