小猪佩奇与Tom猫的一场内网友谊赛

走过路过,不要错过这个公众号哦!

万幸在狂轰滥炸的期末考试中没落地成盒,闲的发慌,突然想起来之前对于内网一直不理解,借着学长搭的环境,小猪佩奇与Tomcat进行了一场内网较量,收获颇丰。

实验目的:

1、代理转发工具的利用

2、hash抓取

3、得到域控的flag

外网Tomcat攻击

访问http://xxx.xxx.xxx.xxx:2102/发现是tomcat服务器

访问http://xxx.xxx.xxx.xxx:2102/manager/html即tomcat后台需要密码

于是尝试对管理密码进行爆破

这里使用msf的auxiliary/scanner/http/tomcat_mgr_login 的tomcat管理密码爆破模块进行爆破,爆破成功得到用户名密码为:admin:admin888,成功登陆后台

0x01 代理搭建

将jsp的木马压缩成.war包,然后上传到服务器getshell

使用Cknife去连上去

但是这里其实权限比较低,不能执行命令,也就没法去找内网网段。但还是有文件读写写权限。于是乎就只能去读一下它的网卡信息了。找了下,在/etc/sysconfig/network-scripts/ifcfg-ens33文件发现该主机的内网IP和子网掩码。

IP是10.10.10.2,子网掩码是255.192.0.0,还有个网关在10.0.0.2

这里我们需要使用reGeorg开启socks5反向代理,reGeorg是内网渗透工具之一。上传反向代理服务端至远程主机,把reGeorg的对应脚本上传到服务器端,reGeorg提供了php,asp,jsp脚本,上传后直接访问相应脚本页面显示“Georg says, 'All seems fine'”,表示脚本运行正常。然后在攻击机上通过py脚本开启socks5反向代理服务。

0x02  DZ论坛发现与攻击

先扫描内网,这里通过proxychain4代理F-NAScan来扫描内网(windows下可以使用proxifier作为代理),扫描完成后获得一个html格式的报告,打开后,发现内网有2个存活的主机,分别是10.10.10.2和10.10.10.10.6。

10.10.10.2有22、8080、8081端口(就是tomcat的服务器)

10.10.10.6有53、139、445、3306、3389以及80端口,所以选择10.10.10.6作为攻击目标。

用proxychains4开启火狐代理,访问内网。打开后发现是Dz论坛,并且版本号为7.2,在网上找了下关于Dz7.2版本的漏洞,发现有discuz 7.2 faq.php注入漏洞,并且还有exp,是一个注入漏洞全自动利用工具。

运行exp得到一个webshell:http://10.10.10.6/config.inc.php,密码为3。

0x03  Web机器信息收集与hash抓取

使用Cknife连接后发现是管理员权限,由于要获取hash,上传mimikatz,上传后本来想通过模拟终端运行mimikatz来抓取hash,但是虚拟终端执行失败,并且Cknife连上后不稳定,一直掉,真的很玄学,经过一番苦斗之后,我选择放弃了Cknife。

这时我想起来3389端口是开启的,所以想通过执行php函数来创建用户,远程连接,然后来运行mimikatz来抓取hash

由于我用的是kali作为攻击机,要远连windows,这里我选择使用remmina来远连windows。

登录后域控的域名,用nslookup查找域控IP,发现域下还有一个服务器,10.30.10.20。

用之前上传的mimikatz进行hash抓取,发现一个叫isisadmin的帐号,并获取其HTLM。

得到hash之后就可以进行hash传递攻击,这里PTH得到域控的权限。通过mimikatz⾃带的hash传递能得到后面的⼀个新shell,这个shell就是域控的shell,那么我们可以通过这个shell来获取到域控上的⽂件或者执行代码。

0x04  获取flag

在弹出的cmd中IPC访问域控,然后看一下域控的桌面,发现有个Market_Plan.doc,查看其内容发现有flag。

0x05  总结

心得:

通过本次的实验,总结内网的渗透首先是攻击边界机,通过边界机来访问内网的机器,这里我们是向边界机上传代理,攻击机通过代理来访问内网。寻找内网机器以及域控,经常会使用mimikatz对内网windows机器进行密码和hash抓取,然后通过hash传递攻击得到域控的权限。

 

工具介绍:

reGeorg下载和使用方法:https://github.com/sensepost/reGeorg

F-NAScan下载和使用方法:https://github.com/ywolf/F-NAScan

Dz7.2漏洞的exp:http://www.jb51.net/article/53299.htm

mimikatz下载和使用方法:http://www.freebuf.com/sectool/37162.html

pth学习:http://rinige.com/index.php/archives/160/

看不过瘾?合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦

别忘了投稿哟!!!

合天公众号开启原创投稿啦!!!

大家有好的技术原创文章。

欢迎投稿至邮箱:edu@heetian.com

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。

有才能的你快来投稿吧!

重金悬赏 | 合天原创投稿等你来!

    合天智汇

网址 : www.heetian.com

电话:4006-123-731

长按图片,据说只有颜值高的人才能识别哦→

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值