走过路过,不要错过这个公众号哦!
万幸在狂轰滥炸的期末考试中没落地成盒,闲的发慌,突然想起来之前对于内网一直不理解,借着学长搭的环境,小猪佩奇与Tomcat进行了一场内网较量,收获颇丰。
实验目的:
1、代理转发工具的利用
2、hash抓取
3、得到域控的flag
外网Tomcat攻击
访问http://xxx.xxx.xxx.xxx:2102/发现是tomcat服务器
访问http://xxx.xxx.xxx.xxx:2102/manager/html即tomcat后台需要密码
于是尝试对管理密码进行爆破
这里使用msf的auxiliary/scanner/http/tomcat_mgr_login 的tomcat管理密码爆破模块进行爆破,爆破成功得到用户名密码为:admin:admin888,成功登陆后台
0x01 代理搭建
将jsp的木马压缩成.war包,然后上传到服务器getshell
使用Cknife去连上去
但是这里其实权限比较低,不能执行命令,也就没法去找内网网段。但还是有文件读写写权限。于是乎就只能去读一下它的网卡信息了。找了下,在/etc/sysconfig/network-scripts/ifcfg-ens33文件发现该主机的内网IP和子网掩码。
IP是10.10.10.2,子网掩码是255.192.0.0,还有个网关在10.0.0.2
这里我们需要使用reGeorg开启socks5反向代理,reGeorg是内网渗透工具之一。上传反向代理服务端至远程主机,把reGeorg的对应脚本上传到服务器端,reGeorg提供了php,asp,jsp脚本,上传后直接访问相应脚本页面显示“Georg says, 'All seems fine'”,表示脚本运行正常。然后在攻击机上通过py脚本开启socks5反向代理服务。
0x02 DZ论坛发现与攻击
先扫描内网,这里通过proxychain4代理F-NAScan来扫描内网(windows下可以使用proxifier作为代理),扫描完成后获得一个html格式的报告,打开后,发现内网有2个存活的主机,分别是10.10.10.2和10.10.10.10.6。
10.10.10.2有22、8080、8081端口(就是tomcat的服务器)
10.10.10.6有53、139、445、3306、3389以及80端口,所以选择10.10.10.6作为攻击目标。
用proxychains4开启火狐代理,访问内网。打开后发现是Dz论坛,并且版本号为7.2,在网上找了下关于Dz7.2版本的漏洞,发现有discuz 7.2 faq.php注入漏洞,并且还有exp,是一个注入漏洞全自动利用工具。
运行exp得到一个webshell:http://10.10.10.6/config.inc.php,密码为3。
0x03 Web机器信息收集与hash抓取
使用Cknife连接后发现是管理员权限,由于要获取hash,上传mimikatz,上传后本来想通过模拟终端运行mimikatz来抓取hash,但是虚拟终端执行失败,并且Cknife连上后不稳定,一直掉,真的很玄学,经过一番苦斗之后,我选择放弃了Cknife。
这时我想起来3389端口是开启的,所以想通过执行php函数来创建用户,远程连接,然后来运行mimikatz来抓取hash
由于我用的是kali作为攻击机,要远连windows,这里我选择使用remmina来远连windows。
登录后域控的域名,用nslookup查找域控IP,发现域下还有一个服务器,10.30.10.20。
用之前上传的mimikatz进行hash抓取,发现一个叫isisadmin的帐号,并获取其HTLM。
得到hash之后就可以进行hash传递攻击,这里PTH得到域控的权限。通过mimikatz⾃带的hash传递能得到后面的⼀个新shell,这个shell就是域控的shell,那么我们可以通过这个shell来获取到域控上的⽂件或者执行代码。
0x04 获取flag
在弹出的cmd中IPC访问域控,然后看一下域控的桌面,发现有个Market_Plan.doc,查看其内容发现有flag。
0x05 总结
心得:
通过本次的实验,总结内网的渗透首先是攻击边界机,通过边界机来访问内网的机器,这里我们是向边界机上传代理,攻击机通过代理来访问内网。寻找内网机器以及域控,经常会使用mimikatz对内网windows机器进行密码和hash抓取,然后通过hash传递攻击得到域控的权限。
工具介绍:
reGeorg下载和使用方法:https://github.com/sensepost/reGeorg
F-NAScan下载和使用方法:https://github.com/ywolf/F-NAScan
Dz7.2漏洞的exp:http://www.jb51.net/article/53299.htm
mimikatz下载和使用方法:http://www.freebuf.com/sectool/37162.html
pth学习:http://rinige.com/index.php/archives/160/
看不过瘾?合天2017年度干货精华请点击《【精华】2017年度合天网安干货集锦》
别忘了投稿哟!!!
合天公众号开启原创投稿啦!!!
大家有好的技术原创文章。
欢迎投稿至邮箱:edu@heetian.com;
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。
有才能的你快来投稿吧!
合天智汇
网址 : www.heetian.com
电话:4006-123-731
长按图片,据说只有颜值高的人才能识别哦→