探测相关插件和Wordpress版本均未发现相关漏洞,尝试弱口令,以弱口令成功登入后台
写入Webshell
后台可以编辑PHP文件,改动为一句话木马即可
内网横向
信息搜集
Fscan扫描内网网段
172.22.15.24:139 open
172.22.15.18:139 open
172.22.15.35:139 open
172.22.15.13:139 open
172.22.15.18:135 open
172.22.15.35:135 open
172.22.15.24:135 open
172.22.15.13:135 open
172.22.15.18:445 open
172.22.15.35:445 open
172.22.15.13:445 open
172.22.15.24:445 open
172.22.15.13:88 open
172.22.15.18:80 open
172.22.15.26:80 open
172.22.15.26:22 open
172.22.15.24:80 open
172.22.15.24:3306 open
[*] NetInfo
[*]172.22.15.13
[->]XR-DC01
[->]172.22.15.13
[*] NetInfo
[*]172.22.15.18
[->]XR-CA
[->]172.22.15.18
[*] NetInfo
[*]172.22.15.24
[->]XR-WIN08
[->]172.22.15.24
[*] OsInfo 172.22.15.13 (Windows Server 2016 Standard 14393)
[+] MS17-010 172.22.15.24 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] NetBios 172.22.15.35 XIAORANG\XR-0687
[*] NetInfo
[*]172.22.15.35
[->]XR-0687
[->]172.22.15.35
[*] NetBios 172.22.15.18 XR-CA.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.13 [+] DC:XR-DC01.xiaorang.lab Windows Server 2016 Standard 14393
[*] NetBios 172.22.15.24 WORKGROUP\XR-WIN08 Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] WebTitle http://172.22.15.26 code:200 len:39962 title:XIAORANG.LAB
[*] WebTitle http://172.22.15.18 code:200 len:703 title:IIS Windows Server
[*] WebTitle http://172.22.15.24 code:302 len:0 title:None 跳转url: http://172.22.15.24/www
[+] PocScan http://172.22.15.18 poc-yaml-active-directory-certsrv-detect
[*] WebTitle http://172.22.15.24/www/sys/index.php code:200 len:135 title:None
代理搭建
攻击域成员一(MS17-010)
访问存在Web服务的
发现是ZDOO,搜索相关漏洞后无果
弱口令登录
尝试弱口令登录,成功以admin/123456
登入
但尝试相关漏洞后无果,怀疑是内网常见漏洞,尝试我们常见的永恒之蓝漏洞。
Ms17-010攻击
攻击域成员二(RBCD)
信息搜集
新建管理员用户
RDP
登录后发现桌面存放有数据库服务
使用phpmyadmin进行数据库连接后将用户导出
AS—REP Roasting
使用GetNPUsers
查找不需要Kerberos预身份验证的用户
hashcat
爆破得到两组用户lixiuying:winniethepooh
huachunmei:1qaz2wsx
使用cme
尝试可RDP登录的主机proxychains ./cme rdp 172.22.15.9/24 -u lixiuying -p winniethepooh -d xiaorang.lab
Bloodhound分析
proxychains bloodhound–python –u lixiuying –p winniethepooh –d xiaorang.lab –c all –ns
发现此用户对XR-0687
主机有GenericWrite
权限,可尝试RBCD获取管理员权限
RBCD攻击
做完想来应该是没有在etc/hosts中添加XR-CA.xiaorang.lab的对应IP地址,导致无法找到它这个主机。
当时在这里卡住了,参考https://fushuling.com/index.php/2023/09/17/%e6%98%a5%e7%a7%8b%e4%ba%91%e5%a2%83%c2%b7%e7%bd%91%e9%bc%8e%e6%9d%af%e5%8d%8a%e5%86%b3%e8%b5%9b%e6%b2%a1%e6%89%93%e5%ae%8c/
漏洞探测
首先添加用户,如果能够添加成功就说明漏洞存在,使用工具链接https://github.com/ly4k/Certipy
成功添加,说明漏洞存在。
申请证书模板
要尝试两次才能成功
暂无评论内容