本次测试为实战,测试环境为朋友的个人商业网站,服务器位于某数据中心,所提漏洞已通知并协助修复
首先借助该网站某处上传漏洞,实现一句话木马上传,然后使用菜刀连接。
借助菜刀上传asp大马。
发现当前权限极低,尝试提权,因为目标服务器为server2003,所以借助木马上传功能上传了pr、cmd。
使用自己上传的cmd(系统自带的不能识别)运行pr尝试提权。
pr.exe "net user rabbit 123456 /add"
pr.exe "net localgroup administrators rabbit/add"
然后登录尝试发现目标主机果然没有使用默认的3389端口。
pr.exe "tasklist /svc"
pr.exe "netstat -nao"
寻找termservice服务对应的PID进而寻找端口号,果然远程服务运行在一个自定义端口。
这部分不再提供截图,有疑问的可以参考之前发布过的一篇文章
https://www.jianshu.com/p/0ad65b348e8a
尝试使用asp木马上传metepreter木马,发现莫名其妙失败了,,,
没关系,我们已经拿到了服务器,所以这里我们选择远程桌面来上传,记得勾上剪贴板。
mstsc /admin
msf木马反向代理与frp的配置再此省略,大家可以自行参考之前的文章。
成功反弹木马。
关于这里有一个小技巧,如果我们是通过asp大马来运行的metepreter,我们的木马提权可能会变得十分困难,然而我这里通过管理员用户来登录手动运行,当前权限即为我们创建的管理员用户rabbit。
这里我们看到,提升至最高权限也变得异常顺利。
#查看当前网段
run get_local_subnets
#添加路由
run autoroute -s 10.122.128.0/17
#添加路由
run autoroute -p
然后我们已经将msf代入了当前pc,使用background将metepreter置入后台,我们就可以肆意的使用如永恒之蓝等脚本对对方内网展开屠杀了。。。咳咳,然而我这里的pc所处环境是一个数据中心,服务器之间内网互相隔离,当然这也是为了安全,关于这项技术,我们后期有机会会介绍下。
回到现实,既然我们不能对内网进行探测了,我们只能尝试最大限度的扩大我们的本机战果。
还记得我们入门系列最后一节提到的load命令吗,再次借机会展示一下:
mimikatz_command -f hash::lm
mimikatz_command -f hash::ntlm
借助mimikatz_command我们可以查看当前用户的hash密码,支持lm/ntlm两种加密方式。
当然啦,我们已经获取到了系统system权限,我们可以借助metepreter自带的命令直接获取用户hash。
如msv,获取所有用户详情:
当然,你也可以通过hashdump只查看用户hash:
我们借助主流破解网站居然查到了一条,找小伙伴帮忙付费解析了一下,成功拿到了administrator用户的密码。
游戏当然还没有结束~
还记得我们之前提到的永久后门么?接下来的思路就是捆进程、写硬盘,然后、呀,翻车了,system依然没有成功将进程捆到系统进程里,不过,这里我们已经拿到administrator用户的密码了,这里且放他一马。
然后接下来,整个服务器都可以为所欲为了,比如数据库、以及各种其它敏感文件,这里拿到了大量用户数据以及管理员账户密码、支付宝商户账户商家key等数据。
在打算撤出本次实战的时候,突然发现该网站居然已经被上传过木马了,本着造福大众、捍卫世界和平的心态,对这位陌生朋友的小木马进行了一个小小的修改,当然密码也顺手改掉了w(゚Д゚)w:
希望他早日改邪归正,emmmmm,一个人也要好好哒!