花無涯:滲透日記之目標入侵滲透內網
信息的利用:
1. 首先是內網佔據的這台機器,要做幾個必要的措施:
鍵盤記錄,記錄其可能登錄的密碼,有用的。
抓hash跑密碼,主要查看密碼規則是否有規律,它的 密碼也可以去試下其它機器的密碼,看是否通用。
種gina,這一步主要不是記錄當前用戶的密碼,而是為了來記錄域管理員的登錄密碼,因為域管理員是 有許可權登錄下面每台用戶的機器的,gina是可以記到的,記到域管理密碼后,內網在域中的機器就可以全部控制了。
給佔據機器上的備用安裝文件或是備用驅 動上綁馬,此是為了防止對方重裝機器,馬就掉了。
請點擊此處輸入圖片描述
2. 反彈socks代理。
在內網滲透中,反彈socks代理是很必要的,大家都知道用lcx來轉發埠,好像很少看到有人是直接反彈代理來連接。因為我們要連接內網的其 它機器,我們不可能一個一個的去中轉埠連接,在當前控制的機器上開代理也沒辦法,因為對方在內網。所以我們就用反彈代理的方式。這種方式其實大家都明 白。
目錄信息泄露目錄信息泄露是指噹噹前目錄無index.html/index.asp/index.php/index.asp.net等指定主頁的情況下,直接顯示目錄下所有的文件及其目錄。測試方法和簡單,在網站路徑后輸入目錄名稱即可,一般的掃描軟體會自動識別該漏洞,如圖1所示,顯示該網站存在目錄漏洞。
圖1存在目錄泄露漏洞2.發現後台弱口令 在目錄泄露的基礎上,發現網站存在後台管理地址,使用弱口令admin/admin順利登陸該投票管理系統,如圖2所示。出現目錄泄露漏洞的網站後台密碼一般都比較簡單,比如admin/123456、admin/admin、admin/admin888等。
圖2獲取後台弱口令3.泄露文件信息 如圖3所示,通過分析網站的源代碼,從源代碼中去尋找文件夾,發現存在UpLoadFolder 文件夾,通過地址http://**.*******.gov.cn/UpLoadFolder/進行訪問,在該文件夾下有大量的上傳文件,單擊這些文件鏈接,可以直接下載文件到本地。
圖3上傳的所有文件4.發現資料庫文件 在該網站hzh目錄發現存在db目錄,繼續訪問,如圖4所示,可以看到存在db.mdb,如果網站未做安全設置,該資料庫文件可以直接下載。
圖4發現資料庫文件5.發現涉及個人隱私的文件 如圖5所示,在網站myupload文件夾下,發現大量的txt文件,打開后,在該文件中包含大量的個人基本信息,身份證賬號以及銀行卡信息等。
圖5泄露個人銀行卡信息6.發現上傳文件模塊 在網站繼續查看泄露目錄,如圖6所示,獲取了memberdl目錄,逐個訪問文件,其中aa.aspx為文件上傳模塊。在一些文件上傳頁面中可以直接上傳webshell。
請點擊此處輸入圖片描述
向域控出發
假設執行dsquery server的結果我們發現域控伺服器為DC-2008和DC-2003兩台,而我們執行命令的主機也是在域下的,那麼我們可以直接WCE -w了,運氣好的話明文密碼直接出現在你眼前,另一個外國人寫的神器叫mimikatz也能夠獲取明文密碼,圖我就不截了,大家自己動手吧!
如果運氣好,那麼恭喜,此時你已經域控管理員密碼在手,域中隨意可行走。使用域控管理員密碼登錄域控伺服器,使用pwdump、fgdump等各種密碼dump工具對整個域控的密碼散列進行獲取即可。
如果運氣差,使用wce沒有得到域管理員的密碼,那麼你可以嘗試如下方式:
Incognito
Sniffer動靜很大,不到最後建議還是不要嘗試了。
圖6獲取上傳頁面7.構造文件解析漏洞在文件上傳頁面,通過查看,發現可以直接創建自定義文件,在該目錄中創建1.asp文件夾,如圖7所示,可以直接船艦1.asp文件夾;然後選擇文件上傳,如圖8所示,構造一個webshell的avi文件,文件名稱為1.avi。
圖7創建1.asp文件夾
圖8上傳1.avi文件通過瀏覽1.avi獲取文件的url地址,如圖9所示,將多數體鏈接地址複製下來,直接獲取webshell,使用中國菜刀管理工具,順利獲取webshell,如圖10所示。
圖9獲取webshell地址
圖10獲取webshell8.獲取資料庫密碼 通過中國菜刀後門管理工具,上傳一個asp的大馬,有時候webshell會被查殺或者防火牆攔截,如圖11所示上傳一個免殺的webshell大馬,通過大馬對網站文件進行查看,在web.config文件中獲取了mssql資料庫sa賬號和密碼「fds%$fDF」。
請點擊此處輸入圖片描述
此文僅以技術交流為目的,拒絕任何形式的攻擊行為。
想了半天我決定還是在結束語前面加上上面這句話,滲透是個技術活,也是個藝術活,各種奇技妙巧盡在其中,同時環境也複雜多變,但萬變不離其宗,以靜制動,后發制人。
同時推薦大家黑客技術入門的書 《網路黑白》