小猪佩奇与Tom猫的一场内网友谊赛

走过路过，不要错过这个公众号哦！

万幸在狂轰滥炸的期末考试中没落地成盒，闲的发慌，突然想起来之前对于内网一直不理解，借着学长搭的环境，小猪佩奇与Tomcat进行了一场内网较量，收获颇丰。

实验目的：

1、代理转发工具的利用

2、hash抓取

3、得到域控的flag

外网Tomcat攻击

访问http://xxx.xxx.xxx.xxx:2102/manager/html即tomcat后台需要密码

于是尝试对管理密码进行爆破

这里使用msf的auxiliary/scanner/http/tomcat_mgr_login 的tomcat管理密码爆破模块进行爆破，爆破成功得到用户名密码为：admin:admin888，成功登陆后台

0x01代理搭建

将jsp的木马压缩成.war包，然后上传到服务器getshell

使用Cknife去连上去

但是这里其实权限比较低，不能执行命令，也就没法去找内网网段。但还是有文件读写写权限。于是乎就只能去读一下它的网卡信息了。找了下，在/etc/sysconfig/network-scripts/ifcfg-ens33文件发现该主机的内网IP和子网掩码。

IP是10.10.10.2，子网掩码是255.192.0.0，还有个网关在10.0.0.2

这里我们需要使用reGeorg开启socks5反向代理，reGeorg是内网渗透工具之一。上传反向代理服务端至远程主机，把reGeorg的对应脚本上传到服务器端，reGeorg提供了php，asp，jsp脚本，上传后直接访问相应脚本页面显示“Georg says, 'All seems fine'”，表示脚本运行正常。然后在攻击机上通过py脚本开启socks5反向代理服务。

0x02DZ论坛发现与攻击

先扫描内网，这里通过proxychain4代理F-NAScan来扫描内网(windows下可以使用proxifier作为代理)，扫描完成后获得一个html格式的报告，打开后，发现内网有2个存活的主机，分别是10.10.10.2和10.10.10.10.6。

10.10.10.2有22、8080、8081端口(就是tomcat的服务器)

10.10.10.6有53、139、445、3306、3389以及80端口，所以选择10.10.10.6作为攻击目标。

用proxychains4开启火狐代理，访问内网。打开后发现是Dz论坛，并且版本号为7.2，在网上找了下关于Dz7.2版本的漏洞，发现有discuz 7.2 faq.php注入漏洞，并且还有exp，是一个注入漏洞全自动利用工具。

0x03Web机器信息收集与hash抓取

使用Cknife连接后发现是管理员权限，由于要获取hash，上传mimikatz，上传后本来想通过模拟终端运行mimikatz来抓取hash，但是虚拟终端执行失败，并且Cknife连上后不稳定，一直掉，真的很玄学，经过一番苦斗之后，我选择放弃了Cknife。

这时我想起来3389端口是开启的，所以想通过执行php函数来创建用户，远程连接，然后来运行mimikatz来抓取hash

由于我用的是kali作为攻击机，要远连windows，这里我选择使用remmina来远连windows。

登录后域控的域名，用nslookup查找域控IP，发现域下还有一个服务器，10.30.10.20。

用之前上传的mimikatz进行hash抓取，发现一个叫isisadmin的帐号，并获取其HTLM。

得到hash之后就可以进行hash传递攻击，这里PTH得到域控的权限。通过mimikatz⾃带的hash传递能得到后面的⼀个新shell，这个shell就是域控的shell，那么我们可以通过这个shell来获取到域控上的⽂件或者执行代码。

0x04获取flag

在弹出的cmd中IPC访问域控，然后看一下域控的桌面，发现有个Market_Plan.doc，查看其内容发现有flag。

0x05 总结

心得：

通过本次的实验，总结内网的渗透首先是攻击边界机，通过边界机来访问内网的机器，这里我们是向边界机上传代理，攻击机通过代理来访问内网。寻找内网机器以及域控，经常会使用mimikatz对内网windows机器进行密码和hash抓取，然后通过hash传递攻击得到域控的权限。

工具介绍：

reGeorg下载和使用方法：https://github.com/sensepost/reGeorg

F-NAScan下载和使用方法：https://github.com/ywolf/F-NAScan

Dz7.2漏洞的exp：http://www.jb51.net/article/53299.htm

mimikatz下载和使用方法：http://www.freebuf.com/sectool/37162.html

pth学习：http://rinige.com/index.php/archives/160/

看不过瘾？合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦》

别忘了投稿哟！！！