前言
随手找了个仿真度高的靶机,Heist尝试一下
过程
拿到IP,先通过Nmap进行扫描
常用命令:nmap -n -v -sC -sV -p- 10.10.10.149
可以看到这边存在80、135、445、5985、49669端口
访问网站,是一个登录页面,并且有以游客身份登陆,便以游客身份登陆,可以看到这边有个配置思科的配资文件,下载下来并打开。
可以看到配置文件中有三行加密过的密码,尝试搜索思科的密码破解方法。
这里type7的密码加密方法可以用这个网站来破解
url:IFM - Cisco Password Cracker
而另外一个type5加密的密码则需要通过爆破进行,利用kali里面的john爆破hash工具,利用rockyou.txt这个字典,可以得出来这个密码
然后尝试登陆页面用这几个密码,但是爆破不进去,这时候想起来还有个445端口,可以利用msf对445端口smb服务进行爆破,发现Hazard\stealth1age这个账号密码可以登陆
但是进去后可以看到,只有IPC服务存在权限
那这个时候我们可以利用IPC使用Impacket工具来爆破跟多的用户名出来
将爆破出来的两个用户名加入用户名的文档,又想到刚才有个5985端口开着,window远程管理的服务,也许也会有能爆破进去的用户,利用msf的winrm爆破,果然存在一个可以进去的用户
利用工具连接进入服务器
Evil-WinRM:用于渗透测试的终极Windows远程管理shell - 体验盒子 - 不再关注网络安全
看了下服务器中存在firefox进程,看下能不能从这个进程中找到什么信息,利用procdump把进程的内存文件下载下来,查看到里面存在一个admin的密码,再次利用工具进行连接,直接获取root权限
总结
1、当具有ipc权限的时候,我们可以利用其爆破系统中存在的用户
2、当看到5985时候,可以想到利用此端口进行爆破,平时大家注意的高危端口都是445之类的,但是在内网中不只有445这一种远程服务,像3389,以及这边的5985远程服务,也是内网中及其致命的一种远程连接服务,可参考这篇文章:第15篇:内网横向中windows各端口远程登录哈希传递的方法总结_ABC_1231的博客-CSDN博客_5985端口
3、当进入内网后,看到有浏览器进程存在时,可利用工具进行浏览器数据的获取,包括但不限于浏览器内存栈、浏览记录、浏览器记住的密码等等,这都将成为下一步渗透的突破点。