文章目录
总结
读文读报
“Shodan插件探测到81端口”
疑问:使用81-83端口的常见服务有哪些?
据说:81端口通常是路由器管理页面端口,或汉邦登录界面端口。
实践:Fofa搜索,查看前3页发现摄像头后台、ikuai后台、其他Web应用后台。
结论:81端口通常是服务后台登录地址,且多为摄像头。
| 搜索命令 | 访问URL | 判断 |
|---|---|---|
| port=“81” 中国 | xx:81/doc/page/login.asp | 页面信息Hikvision,海康威视摄像头,admin/12345 |
| region=“Zhejiang” && port=“81” | xx:81 | 摄像头关键词jhua,浙江大华公司,admin/admin |
| xx:81/login#/login | ikuai登陆地址 | 爱快路由器,全讯汇聚网络科技,admin/admin |
“杀软探测,查看是否存在AV”
Anti Virus是指反病毒软件,简称AV,杀软会查杀一些命令和软件,使无法进行反弹shell获得权限等,想要进一步渗透测试,杀软是一道小门槛。
反病毒软件:360、360杀毒、火绒、deferencer,以及全球和全国杀软平台检测。
“目标出网,直接powershell上线”
疑问:Powershell的基本概念是什么,有哪些基本操作?
查询资料:Windows Powershell是一种命令行外壳程序和脚本环境,基于.net。简单来说,Powershell是cmd的超集,cmd能做的不能做的,Powershell都能做。在Linux下通常反弹shell,在Windows下通常反弹Powershell。
据说:使用CS的Attacks-Web Drive by - Script Web delivery生成powershell脚本,上传到目标服务器上,运行后目标主机会在CS服务器上线。
本地Win10打开cmd命令行窗口,输入powershell.exe -h成功执行。
希望实践:观看哔哩哔哩视频,【内网渗透】Cobalt_Strike全套教程
视频地址https://www.bilibili.com/video/av45380497/
“08提权神器”
通过sqlmap拿到SQLServer的os-shell,CS上线。接下来Systeminfo查看系统信息,准备通过08漏洞进行提权。
百度搜索08提权神器,找到CVE-2018-8120提权漏洞。
| 内容 | 说明 |
|---|---|
| 漏洞名称 | Windows操作系统Win32k的内核提权漏洞。 |
| 漏洞编号 | CVE-2018-8120 |
| 漏洞描述 | 普通应用程序可利用win32k.sys组件的空指针漏洞以内核权限执行任意代码 |
| 影响版本 | Win7 32/64位 sp1,WinServer 2008 32/64位 sp2,WinSer 2008 R2 SP1 |
具体影响版本信息:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems SP1
Windows Server 2008 for 32-bit Systems SP2
Windows Server 2008 for 32-bit Systems SP2
Windows Server 2008 for Itanium-Based Systems SP2
Windows Server 2008 for x64-based Systems SP2
Windows Server 2008 for x64-based Systems SP2
Windows Server 2008 R2 for Itanium-Based Systems SP1
Windows Server 2008 R2 for x64-based Systems SP1
Windows Server 2008 R2 for x64-based Systems SP1
windows本地提权常用命令:
| 命令 | 用途 |
|---|---|
| systeminfo | findstr OS 获取系统版本信息 |
| hostname | 获取主机名称 |
| net user | 查看用户名列表 |
| net user user_name | 查看所属的组和权限 |
| whoami | 显示登录账号 |
| whoami/user | 显示登录账号和SID |
| net user user_name pass_word /add | 添加用户 |
| net user user_name /del | 删除用户 |
| net user user_name /active:yes/no | 激活/禁用账号 |
| net localgroup | 查询当前所有用户组 |
| net localgroup administrators user_name /add | 将test用户添加到administrators用户组 |
复现环境:
OS版本:操作系统Win7 x64 SP1
系统型号:VMware Virtual Platform
系统类型:x64-based PC
exp来源:
样本来源:https://github.com/unamer/CVE-2018-8120
优化后的样本:https://github.com/alpha1ab/CVE-2018-8120(亲测可以)
管理员身份复现
查看默认用户信息net user simi:本地组成员,*Administrators
查看当前目录下的文件:dir
从宿主机把exp文件夹拖到虚拟机,cd跳转到目录
执行命令cve-2018-8120.exe “whoami”,程序中断“cve-2018-8120.exe已停止工作”。
仔细查看发现,应该使用x64/Release/目录下的cve-2018-8120.exe。
通过“cve-2018-8120.exe 命令”可以使用system用户执行命令。
普通用户复现
control打开控制面板,新建普通用户users_test。
切换用户,发现桌面文件是空的,说明不共享文件。
打开管理员组账户simi的文件夹,输入管理员密码,找到exp程序,执行命令cve-2018-8120.exe “whoami”,成功以system身份运行命令。
简单查看Win7用户组
查看虚拟机Win7 Sp1的用户组,主要介绍三个组和一个用户:
Administrators管理员组,对计算机/域有不受限制的完全访问权;
Users:普通用户组,是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。用户不能修改系统注册表设置、操作系统文件或程序文件。(运行应用程序都要申请权限)
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
“最高权限system”:System组不允许用户加入,也不会在用户组中显示,只有一个system用户。系统超级管理员system可以结束一些系统进程,而用户超级管理员administrator很可能无法结束系统进程。
“抓取密码,远程登陆”
前步骤:调用Powershell成功,CS上线。通过08提权可以执行system命令。
目标:抓取管理员哈希密码并解密,开启3389端口远程登录。
0X01 procdump+mimikatz读取密码,Win环境首推
0x02 使用powershell读取密码
0x03 通过SAM文件+mimikatz读取密码
知识准备
Sam文件:Windows的用户hash一般是存储在C:\windows\system32\config\SAM文件中(域控存在NTDS.dit文件中),但管理员也无法打开并读取该文件内容。
lsass.exe进程:lsass.exe是一个系统进程,用于本地安全认证,用户的hash信息就存在lsass.exe程序内存中。我们一般就是以lsass.exe进程为目标,使用工具从该进程中dump出已登录用户的hash相关信息。
procdump程序转储软件是微软官方的,专门用来监测程序CPU高使用率从而生成进程dump文件的工具。ProcDump可以针对特定进程生成一系列的dump文件,以便调试者对事故原因进行分析。
mimikatz是法国人Gentil Kiwi编写的一款windows神器,可以直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码。
还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器,已被添加到MSF并作为一个可加载的Meterpreter模块。作者主页:http://blog.gentilkiwi.com/
下载软件ProcDump:
下载地址https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
下载软件mimikatz,Win10下载会产生安全警告,只有Windows Defense杀软:
下载地址https://github.com/gentilkiwi/mimikatz/releases
抓取Win7明文密码
把Procdump文件夹拖拽到Win7虚拟机,管理员权限运行命令,从lsass.exe进程内存中dump用户账号/密码,转存为离线版的lsass.dmp,其中dmp文件是进程的内存镜像:
使用管理员组用户simi执行命令:procdump64.exe -accepteula -ma lsass.exe lsass.dmp,报错504
使用system身份执行命令:CVE-2018-8120.exe “C:\Users\simi
\Desktop\Procdump\procdump64.exe -accepteula -ma lsass.exe lsass.dmp”,转存成功。
使用Admin运行命令报错,再用system运行命令,对dump出的lsass.dmp进行解密:
双击mimikatz.exe运行程序,分别输入以下命令,成功解密用户账号/口令,只有当前用户simi:
privilege::debug
sekurlsa::minidump 转存的内存镜像文件lsass.dmp
sekurlsa::logonpasswords
Win10顺手测试
Admin执行命令:procdump64.exe -accepteula -ma lsass.exe lsass.dmp,报错1056
切换system用户,再次执行命令,成功dump内存镜像dmp文件。
以管理员权限(应该是system)运行mimikatz.exe,分别执行如下命令。
发生报错ERROR kuhl_m_sekurlsa_acquireLSA ; Key import ,可能是Win10的某些安全性改进,导致mimikatz无法读取lsass导致的,找了三篇文章,暂时没有找到解决方案。
额外的收获:据说键盘记录无法记录windows的登陆密码。
privilege::debug
sekurlsa::minidump MyWin10-lsass.dmp
sekurlsa::logonpasswords
“直接sqlmap在登录处注入尝试”
FOFA搜索:title=“棋牌后台管理系统”
测试范围:FOFA搜索第一页10条。
执行命令sqlmap.py -u “xxx” --forms --batch(此命令能够探测sqllabs的less11)
报错unable to connect to the target URL,本地可以跑sqlmap,推测有WAF。
Burp抓取数据包执行命令sqlmap.py -r post.txt -p UName,仍报错,说明不是爬虫的锅。
基本可以断定有WAF存在,文章里的环境常常可遇不可求。
使用wafw00f对WAF进行探测,报错:Failed to establish a new connection: [WinError 10061] 由于目标计算机积极拒绝,无法连接。
扩展阅读
北京汉邦高科数字技术有限公司,专注于数字视频监控领域的产品和技术研发。
《海康威视-网络摄像机操作手册V2.0.0-2011》
网络摄像头出厂默认IP为“192.0.0.64”,端口为“8000”,超级用户“admin/12345”。
参考
《记一次棋牌站的沦陷 -lengyi》, 2020-09
https://lengjibo.github.io/qipai/#more
《海康威视网络摄像机用户手册_WORD格式(说明书)可打印.doc》,2018-10
https://max.book118.com/html/2018/1011/8077057051001126.shtm
《CobaltStrike 使用教程(二)之powershell上线》,2021-03
https://blog.csdn.net/m0_53087192/article/details/114640257?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-0&spm=1001.2101.3001.4242
《CVE-2018-8120漏洞复现 》,2019-08
https://mp.weixin.qq.com/s?__biz=MzUyMTAyODYwNg==&mid=2247485419&idx=1&sn=d05f79ac32b1166fdc9458b8eadcf8ac&chksm=f9e0117ace97986cb14ef1396c197d438da8af7d7fc2491d0bd195c9f22baa070bcad485305b&mpshare=1&scene=23&srcid=&sharer_sharetime=1566620897514&sharer_shareid=d32981e13d51bf06188894426d2a54e5#rd
《windows系统默认的本地组都有哪些 都有啥作用》
https://zhidao.baidu.com/question/55980601.html
《渗透测试之地基免杀篇:C#加载msf和CS后门免杀过所有杀软》,2021-02
https://www.freebuf.com/articles/web/262803.html
《High CPU Dump收集工具 - ProcDump使用方法》
https://www.pianshen.com/article/58581824776/
《windows抓取用户密码》,2020-07
https://blog.csdn.net/w1590191166/article/details/107350200/
《使用mimikatz抓取windows管理员密码》,2019-12
https://blog.csdn.net/whoim_i/article/details/103639737
133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
