Goal:目标域控存在一份重要文件。
network
建议DMZ的web双网卡:一个桥接一个VMnet2。其他的全部是VMnet2。
network配置
VMnet2配置如上图。
ip信息
看到分配成功然后互相ping一下没问题就ok了。
说明一下,是黑盒测试所以不提供 *** 拓扑,只给出DMZ的ip。
index
可以看到Written by Joomla,探测一下目录。
phpinfo
admin
这个比较有用,看看能不能远程连接一下。
看样子我们还是加一个管理员比较好,具体字段可参考官方文档或自己查看。
https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn
INSERT INTO `am2zu_users_users`
(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'Railgun',
INSERT INTO `am2zu_users_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
注意修改表前缀,执行后即可登陆:Railgun secret
Extensions—>Templates,然后选择随意一个模板进入—>New File
shell:http://192.168.8.150/templates/beez3/shell.php
执行不了命令,看了一下开了disable_function.
1、生成含有恶意代码的动态链接程序。
2、运用putenv来设置LD_PRELOAD,优先调用我们编写的程序。
3、通过webshell触发函数。
#gcc -shared -fPIC libc.c -o exp.so
php:
putenv("LD_PRELOAD=/var/www/hacklibc.so");
mail("","","","","");
将hacklibc.so传到服务器再通过下方php代码设置LD_PRELOAD。运行后/var/www/html下就会有一个test.txt。
我们准备好链接库以及利用php,传到服务器上。
注意该exp有三个参数:
cmd—>待执行的命令
outpath—>保存命令执行输出结果的文件路径(注意,要有读写权限的路径)
sopath—>自然是我们的lib.so了。
可以看到执行命令时Ok的,但是此处不考虑提权了。
很奇怪,IP地址不对啊!
本想读出来passwd和shadow破一下密码,但是虽然passwd有权限但是shadow不可读。
这时候就要发挥取证的功底了哈哈,找到一个东西。
肯定是ssh嘛,登陆。
目前我们分析得知上面的拓扑图,因为前面执行命令发现shell返回的IP并不是我们访问的DMZ。
所以判断真正的web放在192.168.93.120,这台web机开放apache服务,而DMZ通过Nginx反代解析到120这台机器。
nginx.conf
上图更是验证了我们的想法。
可用脏牛提权。
看来测试的时候已经用脏牛提过了…
提权成功。
接着向内网进发,用本台DMZ当作跳板机,还是常用的两个 *** :EW *** ,msf。
本来想介绍一下msf怎么操作,因为之前都是只说了流程,没有具体演示,但是kali桥接出了问题,正向shell也没弹到,所以还是用ew吧。
前面已经知道ip段是192.168.93.x
爆出来了!
渗透测试
上传mimikatz
使用wmiexec来执行命令
https://github.com/maaaaz/impacket-examples-windows
使用proxifier来 *** 。
可以执行命令了,我们去抓一下密码。
但是执行完mimikatz.exe直接没反应啊,所以可能这个不能做到交互吧…
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt
上述命令为非交互情况下使用mimikatz读取密码。
注意看域,不要去用其他本地密码尝试。
若读不到:
有了域控密码,接下来就是找域控啦!
看到域是test.org
这样确定域控就是那台windows server 2012了。
开了3389,没开域控,这里有两种办法,先说之一种。
还是靠 *** B执行命令强开3389
但是没打开…server2003就是Ok的,不过还是可以执行命令。
现在考虑不是3389没打开而是有防火墙,关一下试试。
3389:
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
firewall:
net stop mpssvc
后来我去看了,3389真的开了,防火墙真的关了,我真的连不上…
第二种就是$IPC入侵了。
该种 *** 不能在本地运行,本地找不到域控。
边界机拿到手以后可以根据情况考虑提权,以它作为跳板(ew,msf),然后迅速探测内网存活主机,探测操作系统以及开放端口,存不存在CVE,存不存在有缺陷的服务。对于域中的windows可以选择CVE直接打或者爆破3389或者爆破 *** b,拿到权限后可以使用mimikatz来读取域中的密码或执行命令,然后探测域控主机。
原创投稿作者:Railgun
作者博客:www.pwn4fun.com
. 电影《少年的你》经典台词在朋友圈刷屏,“你保护世界,我保护你”“喜欢一个人想给他最好的结局”触动了多少人的心,友谊长存带来《少年的你》经典台词带图片。 少年的你经典台词大全 你往前走,我一定...
男性和女性的朋友,如果他们一起探险或他们是在一个长途关系,其中之一将采访另一个在另一个位置,这是不可避免的,当他们开启一个房间在酒店。身体虽不怕影子斜弧形,也怕邪灵吃饭。但如果在酒店入住时,警察忽然来...
我叫龙雨,先后在百度搜狗工作过3年,后来一直负责一家公司的的网络营销! 不知道大家有没有听过1+1+1>3这样一个概念,简单来说一下这概念! 第一呢就是自己的资源,把自己的资源维护好开发好;第二...
本文目录一览: 1、《盗梦空间》与《黑客帝国》,哪部剧思维比较有联想性呢? 2、求对《盗梦空间》这部电影的戏剧分析 3、盗梦空间这部电影和黑客帝国想表达的意思是不是一样的? 《盗梦空间》与《...
编辑导语:企业在举办用户体系的搭建时,有几个较量纠结的问题,好比企业认证的信息,应该是谁去认证,公司人员改观该怎么办等等;本文作者对企业用户体系搭建中会碰着的问题举办相识答,我们一起来看一下。 一、...
翻山越岭〡卡农是什么 今天,我和妈妈开始一段共同的旅行——她的文和我的图,偶尔,我的文和她的图,在“卡农KANON”微信公众号上展现。我们的合作会像下面这曲卡农,和谐而美妙。 卡农是——一起散步,...