横向移动-权限拓展方式

张天师大约 2 分钟

翻阅配置文件

各类站点数据库连接密码

JSP站:网站目录/WEB-INF/classes/database.properties

PHP站:find / -name *config.inc

ASP站:web.config

MySQL数据库找密码
find / -name user.MYD

/var/lib/mysql/mysql/user.MYD
#下载下来解密MD5得到root密码
常见中间件配置文件位置
Tomcat: $CATALINA_HOME/conf/server.xml
Apache: /etc/httpd/conf/httpd.conf
Nginx: /etc/nginx/nginx.conf

获取历史连接凭证

获取RDP连接凭证(保存过的)

https://github.com/AlessandroZ/LaZagneopen in new window

lazagne.exe windows

#git密码也能获取到

获取历史连接wifi密码

https://github.com/wangle201210/wifiPassopen in new window

获取XShell连接凭证

https://github.com/dzxs/Xdecryptopen in new window

浏览器历史记录和凭据

https://github.com/moonD4rk/HackBrowserDataopen in new window

弱口令

1、密码喷洒:即用已知的密码去扫描网段里的机器去做密码碰撞

2、Web后台弱口令和网络设备默认口令

3、主机和数据库弱口令扫描(21,22,445,3389,1433,1521,3306,5432,6379,27017)

4、技巧:如果能进到邮箱或wiki系统翻找到初始口令的话可以批量获取主机权限

其中MySQL和PostgreSQL及Redis这些数据库都是有办法获取主机权限的

系统漏洞

MS17-010(CVE-2017-0143)

MSF有两种方式:

  • 反弹shell:exploit/windows/smb/ms17_010_psexec,需要在主机上进行端口转发
  • 直接执行命令:auxiliary/admin/smb/ms17_010_command,直接在主机上执行命令

Web应用漏洞

重点关注Shiro反序列化WeblogicStruts2等可直接利用的组件漏洞

还有SQL注入、文件上传等能Getshell的Web安全漏洞

重点目标系统

Zabbix等监控系统,默认口令(Admin/zabbix)

通过堡垒机默认口令进入堡垒机,直接主机权限路径分刷满

查看wiki系统很多组织会在其中公示一些初始密码,拿来去做弱口令扫描

凭证传递攻击

Hash传递攻击和票据传递攻击,是域渗透中的攻击方法

Hash传递攻击本地用户的话需要密码相同才能成功(域管理账户的话可以随意登录)

可以用CS直接去扫445然后抓了hash去传递(类似于明文密码喷洒)