牛红红的日记(平平无奇拿下域控)
牛紅紅的日記(平平無奇拿下域控)
注:本文首發(fā)地址:https://www.sec-in.com
文章作者為-句芒安全實(shí)驗(yàn)室-成員之一,歡迎微信搜索關(guān)注我們。
一、引文
x年x月x日 晴
我是一只牛,家里的老大,我叫牛紅紅,我還有六個(gè)兄弟,分別是橙黃綠青藍(lán)紫。后來我知道這名字是一個(gè)頭上帶著葫蘆的算命的老頭起的,長大后我問他為什么要起這個(gè)名字,老頭說當(dāng)年他爺爺被妖精抓走,于是他便怒氣沖沖的去解救,上去便是一句:“妖精!還我爺爺!”沒想到妖精和顏悅色的問了他一個(gè)問題,他一直苦苦思索,始終沒有結(jié)果,說著便給我看了一張他珍藏多年的圖片。
他希望我不會(huì)重蹈覆轍。我心疼老頭這么大年紀(jì),身體又弱,便問老頭有什么能幫他的嗎,老頭顫顫巍巍的坐到了一塊石頭上,抽了口煙和藹的望著我,
說:我多年來游走各地,最近我得到了一些線索,可能存在答案,你幫我看看吧。
線索:
二、正文
步驟一: 獲取網(wǎng)站權(quán)限
我根據(jù)老頭給的線索進(jìn)行了訪問,發(fā)現(xiàn)是一個(gè)JBOOS控制臺(tái)。
一瞬間我的腦海閃過很多想法,于是我用了最簡單的一種方法,老頭,你這線索的利用的工具給我用用唄,經(jīng)過軟磨硬泡終于從老頭那騙來了java反序列化終極測試工具。發(fā)現(xiàn)目標(biāo)存在命令執(zhí)行漏洞,存在域控。
但是發(fā)現(xiàn)老頭給的工具部分命令執(zhí)行不完整,沒辦法,看來得先獲取一個(gè)webshell。
方法一:利用此工具上傳上傳webshell至網(wǎng)站根目錄。
利用工具自帶文件管理功能,找到文件web目錄
利用上傳功能上傳至指定目錄。
方法二:
利用現(xiàn)成的工具,參數(shù)-u后面加目標(biāo)地址可以直接獲得一個(gè)交互式shell
方法三:遠(yuǎn)程部署獲取webshell
1.將shell.jsp文件壓縮為zip文件,更改后綴為war文件
2.將shell.war上傳到遠(yuǎn)程服務(wù)器上,在該目錄下利用python臨時(shí)開啟一個(gè)http服務(wù)
訪問地址,可以看到服務(wù)開啟成功
3.訪問目標(biāo)控制臺(tái)http://1.2.3.4/jmx-console
搜索關(guān)鍵字jboss.deployment找到flavor=URL,type=DeploymentScanner點(diǎn)進(jìn)去
之后搜索關(guān)鍵字void addURL(),找到遠(yuǎn)程部署地址填寫框,如下圖
填寫完成后點(diǎn)擊invoke,若成功會(huì)提示部署成功,點(diǎn)擊下圖中的Back to MBean View
可以查看部署的物理路徑
點(diǎn)擊應(yīng)用更改,會(huì)跳轉(zhuǎn)到部署好后的訪問地址
4.使用冰蝎測試連接
獲取webshell結(jié)束。
步驟二: 獲取服務(wù)器權(quán)限
利用獲取的webshell上線cs的木馬。
1.服務(wù)器運(yùn)行CS服務(wù)端
2.本地運(yùn)行CS客戶端,添加一個(gè)監(jiān)聽器,并生成windows后門
添加監(jiān)聽器
生成windows后門
attacks->packages->Windows Executable
選擇監(jiān)聽器
生成完畢后改個(gè)名字,增加迷惑性
3.利用冰蝎上傳文件
cmd下運(yùn)行
查看服務(wù)端未上線,dir再次查看,文件消失,猜測目標(biāo)可能開啟安全防護(hù)軟件。
利用CS插件bypassAV快速生成一個(gè)后門文件
上傳,執(zhí)行,上線。
右擊interact獲取beacon
步驟三: 獲取域控主機(jī)權(quán)限
由于之前已經(jīng)確定了域控IP,為了更快拿下域控,遂決定嘗試下MS14-068,失敗,目標(biāo)不存在漏洞。
MS14-068具體利用方法,可以參考鏈接地址:
本機(jī)翻了一下沒有發(fā)現(xiàn)有價(jià)值的線索,接著轉(zhuǎn)變思路,看能不能從其他機(jī)器上獲取有用的東西,利用抓取到的hash嘗試登陸其他機(jī)器,失敗。
繼續(xù)按照此思路對(duì)內(nèi)網(wǎng)存活機(jī)器常見端口進(jìn)行探測看是否存在ms17010漏洞或者弱口令的主機(jī)。
為方便后續(xù)測試,搭建一個(gè)代理。上傳常見的幾個(gè)代理軟件(注意部分服務(wù)器可能會(huì)限制只允許80、443端口流量通過),發(fā)現(xiàn)被殺后決定使用reg,
利用webshell將對(duì)應(yīng)語言的版本上傳到網(wǎng)站根目錄,
本機(jī)運(yùn)行如下命令,開啟代理
-p #指定監(jiān)聽本地的端口
-u #指定腳本的連接地址
修改本地的proxychain的配置文件,kali下默認(rèn)位置為/etc/proxychains.conf
測試下是否可以正常使用,執(zhí)行命令
如下圖可訪問并獲取到了代理地址的IP
利用代理探測下弱口令
大約在這個(gè)時(shí)間點(diǎn),有別的事情處理,就把資料簡單整理了一下,權(quán)限也放著沒動(dòng)。
過了N久以后,等我有時(shí)間的時(shí)候想起這個(gè),剛好在這期間出現(xiàn)了新的域控漏洞,估摸著時(shí)間也出來沒多久,對(duì)方不會(huì)這么快,于是再次嘗試域提權(quán)漏洞,根據(jù)網(wǎng)上公開的利用方式
第一步,探測目標(biāo)是否存在漏洞,發(fā)現(xiàn)存在漏洞
第二步,將目標(biāo)域控密碼置空
第三步,利用impacket下的secretsdump.py腳本獲取域控hash
[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來直接上傳(img-57Cj72Rw-1617345994272)(/img/sin/M00/00/5D/wKg0C2A4ZDaAT82PAAEzvaOtNHw660.jpg)]
第四步,利用impacket下的wmiexec.py腳本獲取一個(gè)域控的shell,直接利用powershell將域控上線到cs,到此步驟獲取了域控權(quán)限,已經(jīng)可以登錄任意域內(nèi)成員主機(jī)。另外為避免脫域還需要把原先的hash還原回去。
第五步,利用獲取的shell,提取域控原始hash。
在shell中依次執(zhí)行以下命令,保存文件-下載文件-刪除文件
提取出原始hash
第六步,根據(jù)提權(quán)到的原始hash對(duì)域控進(jìn)行還原,避免脫域。
第七步,再嘗試下是否能用空密碼登錄,不能登錄則代表還原成功。
到此,域控獲取結(jié)束。
三、尾結(jié)
本次的流程:
1.獲取網(wǎng)站權(quán)限-2.獲取服務(wù)器權(quán)限-3.搭建內(nèi)網(wǎng)代理-4.利用域控漏洞獲取域控權(quán)限最后,通過搜索,我得到了文件《X友有關(guān)葫蘆娃爺爺名字的推測.doc》。
抱著忐忑的心情我緩緩的點(diǎn)開了文件:
總結(jié)
以上是生活随笔為你收集整理的牛红红的日记(平平无奇拿下域控)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 我和女实习生那些不想说的故事
- 下一篇: 月饼计划之XSS