Jump to content

タイトル:失敗した実用的な浸透を記録します

HireHackking

By HireHackking in HACKER

· 1 view

0x01注入点が見つかりました

ストーリーの理由は、私があまりにもアイドル状態で、魚を捕まえるために仕事に行くからです。

触れたとき、特定のWebサイトのクエリボックスに触れました。

1049983-20220119230014421-1134830750.png

その後、古い問題が発生し、クエリを入力しました。

1049983-20220119230014834-1529693758.png

次に、1 'を入力します

1049983-20220119230015197-778980580.png

TSK TSK、これは明らかにSQL注入です。

SQLMapアーティファクトを決定的に取り出します。

エンディングは完璧であり、注入だけでなく、DBAの許可もあります。

1049983-20220119230015622-190292049.png

0x02ウェブサイトGet Shell

SQLインジェクションを使用してシェルを取得する一般的な方法がいくつかあります。 1つは、データを実行し、ディレクトリを介してWebサイト管理の背景を検索し、バックグラウンドを入力して、ファイルのアップロードを介してシェルを取得する方法を見つけるか、エラーレポート、PHPINFOインターフェイス、404インターフェイス、およびその他のメソッドを使用してWebサイトの絶対パスを知ることです。ただし、MySQLに比べて条件はまだ少し厳しいです。

それから私は剣を取り出し、ウェブサイトディレクトリをスキャンし始めました。

1049983-20220119230016010-1548394063.png

自由に管理者をクリックします

1049983-20220119230016493-13760538.png

私は行ったところ、実際にはディレクトリトラバーサルがありました。

その後、00/をクリックしました

1049983-20220119230016985-1162246344.png

口いっぱいの古い血が噴出されました。これは始まる前に終わりましたか?

絶対的なパスは招かれず、実際に最も一般的なパスです。私は以前にそれを知っていました - 一般的なパスを実行するためにos -shell-

sqlmapに涙を浮かべて絶対的なパスを直接保持します-os-shell

1049983-20220119230017442-533158927.png

ここに理解するポイントがあります。 MySQLデータベース-SQLMapのOS -ShellがSQLMAPを最初にファイルを書き込み、シェルTMPXXXX.PHPをアップロードし、ファイルを介してシェルアップロードコマンドをアップロードしてシェルTMPXXXX.PHPを実行し、コマンドを使用してシェル実行コマンドを実行します。

詳細については、Yujiujiuのブログにアクセスして学習できます。

https://www.cnblogs.com/rain99-/p/13755496.html

そこで、ここでは、SQLMAPファイルによってアップロードされたシェルを使用してシェルを直接アップロードしました。

1049983-20220119230017842-486756618.png

ここにも問題があります、あなたはテンテイ・トロイの木馬でアサート関数を使用することはできません

1049983-20220119230018218-11668246.png

最後に、私はトロイの木馬に変更して、シェルを正常に取りました

1049983-20220119230018681-2031610451.png

シェルを取得するプロセスは以前にあまりにも滑らかだったので、ディレクトリトラバーサルを注意深く見ませんでした。ただし、この記事を書くとき、ディレクトリのファイルトラバーサルを注意深く調べて、不正なアップロードポイントを正常に見つけました。つまり、不正なアップロード +ディレクトリトラバーサルを介してファイルアップロードフォルダーを見つけることができ、シェルを取得できます。

1049983-20220119230019100-1211983488.png

0x03予備情報収集

シェルを持っているので、最初のステップは情報を収集することです。

1049983-20220119230019532-528390735.png

1049983-20220119230020129-1380892996.png

1049983-20220119230020572-392008655.png

上記から、現在のユーザーは、イントラネット環境を備えたシステムとServer2012を備えたサーバーであり、キラーESET NOD32がインストールされていることがわかります。

次に、イントラネットのサバイバルマシンを見てみましょう。

NBTSCAN、ICMPプロトコル、ARPスキャン、スキャンラインなど、イントラネットの生存マシンを検出する方法はたくさんあります。ここでは、運用の利便性のために、操作前に直接オンラインになります。

シェルコードは、殺すことなく完全に起動されます

1049983-20220119230021082-1069048936.png

ここでは、K8GEGEラドンプラグインを使用してイントラネットをスキャンすると、メインスキャンの結果がより美しいです。

1049983-20220119230021451-1165173309.png

スキャン結果の一部を次に示します

1049983-20220119230022026-2105161565.png

イントラネットには多くの生き残ったホストがあることがわかります。このWebサーバーにはドメイン環境はありませんが、スキャン結果にはADなどの敏感な単語が含まれています。イントラネットには少なくとも2つのドメイン環境があると推定されています。現時点では、詳細情報収集が必要であり、イントラネットトポロジ図が描かれています。

0x04水平浸透さらに情報収集イントラネットの最初の波はMS17-010です。ここではK8gegeのラドンも使用します。

1049983-20220119230022584-1108012374.png

イントラネットには、MS17-010がある可能性のあるいくつかのマシンが実際にあることがわかります。ここで一つずつプレイするのは時間の無駄であり、主に不確実性があります。そのWebサーバーにはソフトキル入力ソフトウェアがインストールされており、イントラネットにもソフトキル入力ソフトウェアが必要なため、ドメイン内のホストである可能性のあるサーバーをターゲットにします。

1049983-20220119230022971-263385302.png

その後、CSはソックスプロキシを開始し、MSFのプロキシを準備して戦いを開始します。

1049983-20220119230023339-57145783.png

また、ローカルKALI仮想マシンにプロキシを掛けることは非常に簡単です。

sudo vim /etc/proxychains.conf

CSの行のIPを挿入し、下部に開いたポートを挿入します

1049983-20220119230023714-1043852759.png

Proxychains MSFConsoleでMSFを保存して開始します

その後、EXPがターゲットマシンに衝突したときに何かがうまくいかなかった。ソフトウェアを殺すマシンがインタラクティブな実行を傍受したはずです。そこで、一度に1つのコマンドのみをロードできるExpを見つけて、ユーザーを追加しました。

1か月前にこのスタンドを最後に見たときから、この記事を書いていたときに17010年を再現することに成功しませんでした。以前にターゲットマシンにアカウントを追加したため、ログインしてそれを見て、未知のda heikuoによってサーバーがランサムウェアに置かれていることがわかりました。

1049983-20220119230024264-133428847.png

そのため、次の繁殖プロセスは継続せず、このイントラネットを後で見続けませんでした。

ドメイン環境の浸透の一般的なアイデアについて話しましょう:

まず、ターゲットマシンがドメイン環境にあるかどうかを判断します。ドメイン環境にある場合、

まず、オンラインでハッシュを読み取る権限を増やし、ドメイン管理アカウントを読み取ることができるかどうかを確認するか、ドメイン管理プロセスがあるかどうかを確認し、インジェクションを処理してからハッシュを渡してハッシュを介してドメイン制御を取得し、ドメイン内のすべてのハッシュをエクスポートします。

上記の方法が機能しない場合は、MS14-068、MS14-025、CVE-2020-1472などの一般的なドメイン特権を調達することもできます。

動作しない場合は、ドメイン内のWebまたは一般的なデバイスをスキャンし、デバイスの脆弱性またはWeb脆弱性から始めて、ドメイン制御マシンを段階的に段階的にします。

しかし、注意すべきことの1つは、イントラネットの浸透プロセス全体で、目標を明確にする必要があるということです。そうしないと、多くの時間が無駄になることです。同時に、あなたの思考は柔軟で変化しやすく、単一のポイントを握ろうとしないでください。

0x03要約

1。ターゲットサイトクエリに1 'を入力し、SQLエラーを表示します。 SQLインジェクション2がある場合があります。2。data.txtとしてBPを介してクエリのパケットキャプチャを保存し、SQLMAP -R data.txtを介して注入します。注入の脆弱性があり、データベースの許可がDBAであることがわかります。 3. Yujianディレクトリスキャンツールを使用して、ターゲットサイトディレクトリをスキャンし、管理者ディレクトリステータスがHTTP200。4であることを確認します。 00/エラーの報告など、Admin Directoryの下のフォルダーに自由にアクセスし、エラーがWebサイトの物理パスを表示します。 5。sqlmapの-os-shellパラメーターを介して文を書きます。6。アリの剣リンクを使用して文をリンクします。ディレクトリをチェックすると、/js/jqery_file_upload/に不正なアップロードポイントがあることがわかります。このアップロードポイントを介して、トロイの木馬をアップロードして、ディレクトリトラバーサルを介してアップロードされたファイルパスを見つけることができます。 7。ANTソードの仮想コマンド端子を介してIPアドレスをクエリし、システムプロセス(AVがあるかどうか)、システム情報およびパッチ情報IPConfig -168.1.34(ターゲットサイトイントラネットIPアドレス)タスクリスト/SVC ---- EKM.EXEおよびEGUIPROXY.EXE(EST NOD32 KILL)SystemINFO8。 VPSでコバルストライクを実行し、PSバックドアプログラムを生成し、バックドアの殺害を免除します(PowerShellを無料で使用することをお勧めします)。 Ant Swordを介してPSスクリプトをターゲットサイトサーバーにアップロードして実行し、オンラインで正常に進みます。 9。CSにdon.exeをアップロードし、Ladon 192.168.1.0/24 Osscanを使用してシステムバージョン10をスキャンします。同時に、Ladon 192.168.1.0/24 MS17-010も使用して永遠の青い脆弱性をスキャンし、複数のホストが存在することがわかりました。ローカルKALIの次の構成ファイルを使用して、socks5プロキシVim /etc/proxychains.confsocks4ターゲットIP:223313を追加します。 Webサーバーにはnod32がインターネットにインストールされているため、他のネットワークセグメントがあるはずです。 MS17-010を試してみると、成功しません。

出典:https://xz.aliyun.com/t/8586

  • 0 Comments

    Recommended Comments

    There are no comments to display.

    Guest
    Add a comment...