- 作 者: licong
- 创建时间: 2019年11月11日 15:29
- 标 签: APT攻击 | Kill Chain
基本信息
作者:licong
环境配置
打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
除重新获取ip,不建议进行任何虚拟机操作。
参考虚拟机网络配置,添加新的网络,该网络作为内部网络。
注:名称及网段必须符合上述图片,进行了固定ip配置。
描述
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。
地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/
攻击主机:KALI(192.168.93.128)、Win10(192.168.2.210)打开kali、
输入netdiscover -r 192.168.93.1/24 找一下存活机器,发现5台,逐个用nmap扫描一下。
发现100和120是web服务器,开放了80,,我们打开看一下,发现都是joomla的CMS,熟悉kali的朋友都知道,kali自带有个joomla扫描工具。我们来扫一下这两个站。
根据扫描出来的目录挨个查看,发现有敏感信息泄露页面,直接暴露了数据库配置信息、。
连接进入数据库,读取admin和密码
md5查询查不出来。只能想别的办法了。
这里参考saulGoodman大佬的文章里面的思路,使用sql语句自己添加一个管理员进去。
添加成功后会建立admin2用户,密码为secret,成功登陆后台。
第一条语句:INSERT INTO `am2zu_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)VALUES ('Administrator2', 'admin2','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());第二条语句:INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)VALUES (LAST_INSERT_ID(),'8')
这里使用msf生成phpshell
然后修改模板。新建一个1234.php。把shell代码复制过去,msf设置监听。shell里面的ip和端口自己看着改。改成本机kali的地址。
访问后成功拿到shell。
这里没什么线索。我找来找去。在这里找到一个txt
尝试一下ssh连接。连上了。
这里看一下系统版本。尝试一下脏牛进行提权、。下载地址:
https://github.com/FireFart/dirtycow/blob/master/dirty.c
这里把代码复制过来,新建一个dirty.c然后编译,运行。删除提示存在的文件。
成功提权到admin
这里为了下载shell我们用python搭建 一个http服务器,用来下载东西。
python2 的命令为:python -m SimpleHTTPServer 8000
msf生成木马
用curl下载到服务器
在kali设置监听,然后运行shell.elf
成功获取meterpreter
添加路由表开始进行内网渗透,扫描一下存活ip和端口
可以通过这个模块来对内网进行探测操作系统:
auxiliary/scanner/smb/smb_version然后使用通过msf爆破win2008这台中主机的登陆凭证爆破成功:
