记一次渗透测试

记一次渗透测试

实验目的

通过本次实训掌握网络攻防技术，并提升对网络安全威胁的理解和防御能力。

实验环境

• 靶机1：192.168.114.130 windows server 2008 R2
• 靶机2：192.168.114.5 Ubuntu14.04
• 攻击机：192.168.114.100
• 工具：burpsuite,antsword,metasploit,nmap,proxychains,mimikatz(kiwi)

实验说明

本次实验主要是通过利用前端网站的逻辑漏洞进入web后台，通过上传木马文件获得靶机web控制权，再对靶机进行信息收集和后渗透测试，获取靶机密码等信息，然后继续对内网进行渗透，最终拿下内网服务器最高控制权即可

实验过程

一.CMS逻辑漏洞

拿到靶机ip地址之后进行信息收集，发现页面底部有一个会员中心可以注册会员，我们的想法是注册一个会员账号，通过burp抓包，利用逻辑漏洞达到修改admin管理员账号的密码登录后台

注册会员账号

修改创建好的会员账号信息，并使用burp抓包，将useid=test改为useid=admin，达到修改管理员密码的目的

点击网站管理进入后台登陆页面

成功进入后台

二.文件上传

通过对网站信息的收集，在界面风格处发现一处上传点，尝试上传木马文件到服务器，拿到web服务器控制权

编写一句话木马

注意：根据提示，我们需要将文件压缩成zip文件才能成功上传

由于这里网站没有对我们上传的文件的content-type类型进行检测，因此不需要抓包修改也可成功上传

上传成功后，我们需要先找到文件上传的文件夹的路径

然后我们使用antsword连接到后台

至此我们成功拿到该服务器的web控制权

三.对靶机做进一步信息收集和控制

目前我们已经成功拿到靶机web服务器的控制权，接下来我们尝试使用metasploit生成制作的木马对靶机做进一步的信息收集，为内网渗透做准备.

使用metasploit制作木马

将制作好的木马上传到templates目录

开启metasploit控制台并使用监听模块,配置相应参数

运行test.exe文件，可以看到成功获得一个meterpreter,相当于获取了一个shell

使用ps查看当前正在运行的进程

发现lsass.exe进程，该进程为本地安全认证子系统服务，是微软窗口操作系统的一个内部程序，负责运行Windows系统安全政策。它在用户登录时电脑单机或服务器时，主要负责处理本地安全认证，包括用户登录、密码验证、NTLM身份验证等。

对于windows系统我们有四种方法去抓取它的密码：

1. 在线读取SAM文件
2. 离线读取SAM文件
3. 在线读取Lsass进程
4. 离线读取Lsass进程

使用migrate pid号

将当前会话迁移到另一个进程（通过migrate可以大大提高渗透攻击的成功和持久性，降低被检测的风险）

使用Mimikatz抓取密码

这里提示mimikatz被kiwi替代了，因此我们使用kiwi来进行登陆票据的获取

kiwi常用命令

最终成功获取该服务器登录密码

四.内网初探

目前我们已经成功拿到winserver2008的密码，接下来我们使用msf辅助模块工具对内网进行扫描，对内网存活的主机有一个初步的了解.

使用background命令让该监控在后台运行

我们使用msf辅助模块对内网进行信息搜集，发现该网段还存活多台主机

五.内网探测

前面我们通过arp扫描发现内网中还存活其他主机，因此接下来我们要对内网进行深探究

我们需要为攻击机寻找一个代理服务器且该代理服务器与靶机属于同一个内网，然后我们需要设置socks代理，将受害网络代理出来

由于我们这里kali机本来就属于同一个网段，因此代理服务器输入本机ip即可，我们这里只是假设不是处于同一个网段

由于接下来我们要使用命令行代理proxychains，因此我们需要修改proxychains命令行代理相关网络配置文件

使用nmap进行端口扫描，探测到内网有另外一台linux主机开放了ssh服务（22端口）（SSH 服务端口的主机在内网渗透测试中被高度重视，因为它们提供了获取远程访问、提升权限和横向移动的机会。成功获取 SSH 访问权限可以显著提高攻击者在网络中的控制能力）

在内网中，往往管理员配置服务器时都会采用同一个密码，我们现在取得了一台windows服务器的密码，可以尝试用这个密码登陆内网中的其他服务器

成功登录服务器，并获取到该服务器版本号

六.系统提权

前面我们已经通过windows服务器获取的密码成功登录到linux上，接下来我们尝试利用该用户提权到该服务器最高权限

回到msfconsole控制台并设置端口转发，将192.168.114.5的22号端口映射到本机的2222端口

通过ssh登录192.168.114.5，由于192.168.114.5的22端口被映射到了本机的2222端口，所以此时ssh连接的是本机的2222端口

利用脏牛漏洞提权

将脏牛漏洞从数据库中复制到本地并通过scp命令将该目录下所有文件复制到靶机192.168.114.5

最后然后编译脏牛提权

至此，我们已经成功获取到最终服务器的最高权限！

总结

本次实验整体难度适中，每一个靶机要拿到权限其实难度并不大，只是对于你细节的把控要求很高，如果有任何一个细节没做好就很容易被卡死。我刚开始接触的时候也一样，没有思路找不到页面的漏洞，拿到webshell之后不知道接下来应该做些什么，打到内网之后检测到其他存活的主机不知道哪一个才是我需要攻击的等等，很多东西都是需要经过一次次尝试并且在做的过程中不断学习，最后才能成功的，这个既痛苦又快乐的的过程还是很有意思的，至少你拿到最高权限的时候是很有成就感的！