【小明渗透日记】小明要租房

我是小明，小鸡那日了狗的拉我到xx搬砖，工地不给住宿，于是小明要租房，东走走西找找，花花花两天过去了，累成了狗，无赖之下找到xx中介，3000大洋中介费，我滴那个娘啊！看见他宣传单下角的网址，默默交了钱拿着宣传单回了家。

0x01 引言

    渗透、搞站、日网在相关书籍当中基本没有说关于渗透理论的知识，书籍中基本都是工具的使用+各种小方法和小技巧，很多公式性的东西都是大家常年搞站和朋友一起交流出的结果。在渗透中“渗透3通道”是总结出的一个特别好的结论。（ps：一定是我不喜欢看书）

    渗透3通道：命令执行通道（渗透路线）、文件传输通道（大量数据拖取）、权限控制通道（木马后门控制战果）

    本文只通过小明实际案例说下命令执行通道，其他的请期待以后的小明渗透日记。

0x02 命令传输通道模型

    

这个是目前最好使用的命令传输通道（当时里面也有很多坑，在特定环境还需细微改动），在以前很多老文章中会出现的老工具如：hd、lcx、xsocks、ssock、reDuh等等都不是太好用。

0x03 寻找网络边界短板

    二级域名测试、旁站测试、c段测试是常用的是手法，不知道大家还记不记得我在《【小明渗透日记】追寻女神》中说到过关于网站业务和功能分析，我们可以通过寻找业务关联网站和新业务网站（最新的和最老的往往是出现漏洞几率比较高的地方）。

    通过查询目标各种广告和宣传，找到了近期的几个活动，不负众望，sqlerver 2008 sa权限注入，此过程不详述，都懂的windows2008+asp.net+sqlserver2008 构架的网站。sa权限注入，开xp_cmdshell,system权限，全程无尿点，但也遇到了坑，加不了账户360拦截着，于是用xp_cmdshell echo了菜刀一句话，找到sa密码用菜刀链接数据库，使用xp_cmdshell执行命令，使用

procdump.exe -accepteula -ma lsass.exe %COMPUTERNAME%_lsass.dmp

dump lsass.exe内存回来，然后本地使用：

mimikatz # sekurlsa::minidump SUPERCOMPUTER_lsass.dmp

mimikatz # sekurlsa::logonPasswords full

抓取明文，在搞其他目标的时候遇到相同的构架其实也遇到了其他很多坑，比如开不了xp_cmdshell、加不了账户、有安全产品拦截等等，这只能靠自己平时积累了，没有哪一种办法是万能的。

    现在我们找到了突破口，一个ipconfig /all 跳出来了域，是一个域环境中的机器，幸运的是明文抓到了域控账号（其实也是情理之中的，因为我们搞的是新活动，管理员还在调试，肯定经常登录这台机器，这也算搞新活动的一个优点吧）

    通过DNS初步确定了172.13.x.x是域控，下一步就该上域控拖东西了。关于什么域探测啊之类的文章多的很不累诉。

0x03 搭建命令传输通道

    1.reGeorg：Http socks5工具

    下载地址：https://github.com/sensepost/reGeorg 

    使用：目标是.net的于是传文件中的tunnel.aspx上网站目录，然后本地执行

    

    -p参数：指定socks5端口

    -l参数：执行本地地址默认为127.0.0.1，最好使用-l参数改成0.0.0.0，这样很好的使用proxifier在windows上连接

    2.proxychain和proxifier

    在kali下修改/etc/proxychains.conf 之中

    直接修改sock4 127.0.0.1 9090 为 sock5 127.0.0.1 8090

    使用：proxychains 工具 工具参数

    3.windows下使用proxifier

    下载:百度各种破解版

    配置：结合我们上边reGeorg工具开的socks5，由于我们使用的是0.0.0.0，我们可以在windows上连接。我kali虚拟机ip为192.168.56.131

    工具栏profile-->proxy servers-->add

    工具栏profile-->proxification rules 修改default策略的action栏为direct。好了各种ok。

    使用：我如我们想哪一个工具使用代理就直接右键-->profixier-->你自己配置的proxy，我使用mstsc.exe连接域控

    

    4.psexec.py

    这个工具让我们很好的有一个命令行去控制目标，为什么是py的呢？为什么不用psexec.exe,大牛告诉我psexec.exe是会在目标上建服务并且退出的时候不会删除的，所以还是psexec.py或者有个wmi版本的也可以。

    下载：https://github.com/nick-o/impacket（psexec.py是impacket包中的东西，里面还有其他有意思的东西）

    使用：下载好后先安装python setup.py install,

               python pyexec.py administrator:password@127.0.0.1 cmd

    

    ssh和scp为目标机为linux的时候使用，由于此次目标为windows域，在此不多说。

    命令传输通道搭建玩了，我们可以尽情的使用本地linux和windows上的任何工具，再说下里面的坑：

    坑1：使用reGeorg时候，由于目标的脚本环境各种不同，reGeorg可能会报错，需要自己修改个别地方使用，成功率：jsp>.net>php

    坑2：管理员在线的时候最好别上，使用psexec.py，在进程中可以看见一个随机数组成的进程名，一看就是有问题，所以搞站还得月黑风高

    如看官还遇见过其他的坑，请指导

0x04 拖域成员

    这篇文章中介绍了两种拖域成员的方法《windows server 2012 用户hash抓取方法研究（本地 域）》，本地搭建的环境和实际环境还是有很大差距的，里面有一些坑，需要自己填。

    我只说下我在本次渗透测试中成功的方法，不一定代表你在你目标中也能成功。

    ntdsutil.exe + QuarksPwDump.exe 是一个坑如果你导出的ntds.dit文件太大QuarksPwDump.exe 要报内存不足的错误（本地测试这个方法没有问题是因为你的ntds.dit文件太小(这个也是我猜测原因)，实际情况中ntds.dit一般都有几个G），所以我使用的是ntsutil.exe +PWPR(Passcape Windows Password Recovery)。

    1.ntdsutil导出ntds.dit和system，使用《windows server 2012 用户hash抓取方法研究（本地 域）》中方法是没有问题的

    #ntdsutil 

    #snapshot 
    #activate instance ntds 
    #create 
    #mount {GUID} 
    copy c:\{挂载点}\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit (可手动复制)(新窗口复制)

    copy c:\{挂载点}\WINDOWS\system32\config\system c:\system
    #unmount {GUID} 

    #delete {GUID} 
    #quit 
    #quit 

    2.PWPR(Passcape Windows Password Recovery)

    这个是一个收费软件（虽然有demo版本，但是不好用），破解版下载:http://www.ttrar.com/html/Passcape-Windows-Password-Recovery-Advanced.html

    这个工具很强大，看官自己摸索，我只说下解域密码

    

    里面有gpu破解，很快跑出来了

    

    说下当我导出ntds.dit和system是怎么拖回来的，nsds.dit有2G，首先用rar分块打包（每块大小看自己网络环境），用资源共享net use，把它们传到web服务器的web目录下（这个步骤是内网比较快），然后使用迅雷或者什么百度云盘等各种云盘，给下载回来（自己网速不好就先离线）。这个过程有2个坑：

    坑1：打包一定要加密，太大必须分块，apache最大文件下载支持2G（亲身受害过），所以别被掉坑了

    坑2：一定要观察下网络中有没有什么流量监控设备（尼玛有一次下着下着就被发现了，打包后8个多G的邮件啊）

0x05 辛苦的后渗透阶段

    东西拖回来了，也解密了，我一直没说拖的域是什么域，其实是员工域，你懂的。得到了80%(有些没破解出来，nt hash 你懂不是lm hash)的员工账号密码。接下来就是累死人的阶段。

    邮件、vpn、各种内部系统， 怎么翻邮件已经在《【小明渗透日记】追寻女神》说过了。说下vpn，vpn在国内企业使用量最多的应该是深信服的sslvpn了，目标也是用的此种，登vpn有许多的坑。

    深信服sslvpn版本多，遇到好多种版本了，并且这样sslvpn用ie最好用，进去后的界面差距很大（功能设定上的），有点是直接给你几个按钮，你点击进入内部系统，有点是直接显示你能够访问的ip段或指定ip的指定端口，还有的进去是给你一个虚拟化桌面（你懂的，虚拟化桌面类似终端机，使用终端机绕过手法，进去使用此台机器做跳板）。然后就是登录vpn要多登录，可能你登录几个都没有权限（最开始我sb觉得是他vpn有问题，怎么进去不能用），多登录找到有权限的。

    各种内部系统，内部系统就多了，可以从vpn中发现很多内部系统，有3种系统是非常重要的：运维系统、文件共享系统、存储系统（有次遇到netapp，尼玛真是长见识了）。

    比如此次目标找到了运维系统，你懂的帐号密码拓扑图一大堆，基本就完整控制了全部网络，运维手册简直就是渗透路线指导书。

0x06 总结

    搞完之后，最后发现，尼玛有意义么？没意义！什么也没干，来也匆匆去也匆匆，继续交房租继续板砖。

来自为知笔记(Wiz)