信息的利用:
1. 首先是内网占据的这台机器,要做几个必要的措施:
键盘记录,记录其可能登录的密码,有用的。
抓hash跑密码,主要查看密码规则是否有规律,它的 密码也可以去试下其它机器的密码,看是否通用。
种gina,这一步主要不是记录当前用户的密码,而是为了来记录域管理员的登录密码,因为域管理员是 有权限登录下面每台用户的机器的,gina是可以记到的,记到域管理密码后,内网在域中的机器就可以全部控制了。
给占据机器上的备用安装文件或是备用驱 动上绑马,此是为了防止对方重装机器,马就掉了。
请点击此处输入图片描述
2. 反弹socks代理。
在内网渗透中,反弹socks代理是很必要的,大家都知道用lcx来转发端口,好像很少看到有人是直接反弹代理来连接。因为我们要连接内网的其 它机器,我们不可能一个一个的去中转端口连接,在当前控制的机器上开代理也没办法,因为对方在内网。所以我们就用反弹代理的方式。这种方式其实大家都明 白。
目录信息泄露目录信息泄露是指当当前目录无index.html/index.asp/index.php/index.asp.net等指定主页的情况下,直接显示目录下所有的文件及其目录。测试方法和简单,在网站路径后输入目录名称即可,一般的扫描软件会自动识别该漏洞,如图1所示,显示该网站存在目录漏洞。
图1存在目录泄露漏洞2.发现后台弱口令在目录泄露的基础上,发现网站存在后台管理地址,使用弱口令admin/admin顺利登陆该投票管理系统,如图2所示。出现目录泄露漏洞的网站后台密码一般都比较简单,比如admin/123456、admin/admin、admin/admin888等。
图2获取后台弱口令3.泄露文件信息如图3所示,通过分析网站的源代码,从源代码中去寻找文件夹,发现存在UpLoadFolder 文件夹,通过地址http://**.*******.gov.cn/UpLoadFolder/进行访问,在该文件夹下有大量的上传文件,单击这些文件链接,可以直接下载文件到本地。
图3上传的所有文件4.发现数据库文件在该网站hzh目录发现存在db目录,继续访问,如图4所示,可以看到存在db.mdb,如果网站未做安全设置,该数据库文件可以直接下载。
图4发现数据库文件5.发现涉及个人隐私的文件如图5所示,在网站myupload文件夹下,发现大量的txt文件,打开后,在该文件中包含大量的个人基本信息,身份证账号以及银行卡信息等。
图5泄露个人银行卡信息6.发现上传文件模块在网站继续查看泄露目录,如图6所示,获取了memberdl目录,逐个访问文件,其中aa.aspx为文件上传模块。在一些文件上传页面中可以直接上传webshell。
请点击此处输入图片描述
向域控出发
假设执行dsquery server的结果我们发现域控服务器为DC-2008和DC-2003两台,而我们执行命令的主机也是在域下的,那么我们可以直接WCE -w了,运气好的话明文密码直接出现在你眼前,另一个外国人写的神器叫mimikatz也能够获取明文密码,图我就不截了,大家自己动手吧!
如果运气好,那么恭喜,此时你已经域控管理员密码在手,域中随意可行走。使用域控管理员密码登录域控服务器,使用pwdump、fgdump等各种密码dump工具对整个域控的密码散列进行获取即可。
如果运气差,使用wce没有得到域管理员的密码,那么你可以尝试如下方式:
Incognito
Smb
Wce –s欺骗
Sniffer + ARP
其他(玉在哪里?)
Sniffer动静很大,不到最后建议还是不要尝试了。
图6获取上传页面7.构造文件解析漏洞在文件上传页面,通过查看,发现可以直接创建自定义文件,在该目录中创建1.asp文件夹,如图7所示,可以直接船舰1.asp文件夹;然后选择文件上传,如图8所示,构造一个webshell的avi文件,文件名称为1.avi。
图7创建1.asp文件夹
图8上传1.avi文件通过浏览1.avi获取文件的url地址,如图9所示,将多数体链接地址复制下来,直接获取webshell,使用中国菜刀管理工具,顺利获取webshell,如图10所示。
图9获取webshell地址
图10获取webshell8.获取数据库密码通过中国菜刀后门管理工具,上传一个asp的大马,有时候webshell会被查杀或者防火墙拦截,如图11所示上传一个免杀的webshell大马,通过大马对网站文件进行查看,在web.config文件中获取了mssql数据库sa账号和密码“fds%$fDF”。
请点击此处输入图片描述
此文仅以技术交流为目的,拒绝任何形式的攻击行为。
想了半天我决定还是在结束语前面加上上面这句话,渗透是个技术活,也是个艺术活,各种奇技妙巧尽在其中,同时环境也复杂多变,但万变不离其宗,以静制动,后发制人。
同时推荐大家黑客技术入门的书 《网络黑白》
