靶场环境下载：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

修改了默认密码，把win2003换成了xp，同时对用户做了相关调整

 

具体环境

——————————————————————————

机器1

内网域控

windows server 2008 R2 登录用户：域管administrator

内网ip地址：192.168.52.138   

——————————————————————————

机器2

内网机器

windows xp en pro sp3 登录用户：域管administrator

内网ip地址：192.168.52.141 

——————————————————————————

机器3

边界机器(web服务器) 

windows7 登录用户：普通域用户user

内网ip地址：192.168.52.143

外网ip地址：192.168.50.128

——————————————————————————

试验记录

(说下坑，这玩意攻击机也要建个网当外网，不能连现实外网。因为域名用god.org，现实是存在这个域名的，连外网到时候解析会解析到那个域名，所以得断网，这也是上面的机器3外网不是配的NAT，而是配一个内网地址的原因。不过我也推荐把攻击工具那些安在一个虚拟机里，携带方便。）

首先接触到只有机器3

拿到网址：http://192.168.52.128，访问网站是相关phpstudy探针

从这里可以知道用的是php，以及绝对路径等其他的相关信息。

绝对路径：C:/phpStudy/WWW

简单做个目录爆破

发现有phpMyadmin，访问是登录界面

试了一下弱口令，用root/root登录到了后台

可以执行SQL语句，root登录，有绝对路径，这个站，已经，无了

尝试用SQL语句写马失败，当我没说

看了下secure_file_priv为null，只读不可写入，嘁

 

 

 

 换个思路，看下全局日志变量

 

 

 打开它，然后改地址

 

 

再看下配置

 

 

 

 写马

 

 

 蚁剑连接

 

再换个思路，发现一个有趣的数据库

newyxcms，访问网站试了试关键词，结果试出了yxcms

http://192.168.50.128/yxcms/

 

 访问登录页面是这样

http://192.168.50.128/yxcms/index.php?r=member/index/login

 把URL中r的值改成admin，尝试访问，得到了管理后台登录页面

http://192.168.50.128/yxcms/index.php?r=admin

 

回到刚刚phpMyadmin，进到数据库查看相关数据表

 

yx_admin里面拿到管理员账户和密码hash

 

 cmd5查一下，查得到要付钱，我没钱，放弃。猜测也是弱口令

试了一下123456，登上去了

额。。。

翻看了一下整个后台，发现在  全局设置-前台模板-管理模板文件-新建  可以写php

 写个简单马，抓包看下有无路径

 

没得，拉倒

继续做个目录爆破

一个一个看，发现网站存在目录浏览，而且没闭合

 

 

 测了一下，存在目录穿越，yxcms/data加俩../../可以跳回根目录

重新写个马，以防万一，名字写../../../../../../../../../../hguone.php，多跳点

生成会报错

 

 

 报错是因为跳出范围了，，一个一个减下来，最后到../../../../../../hguone.php

 

 

 生成成功，根目录下访问下hguone.php

 

 

 连接蚁剑

 打开终端查看相关信息

当前用户

DNS服务器地址

端口情况，没开3389

存在域，域控名，补丁情况

 域内用户

 域管

 信息收集到这差不多了，普通权限的域用户

cs生个exe，上传执行把机器上线到cs

对比补丁情况，进行相关提权，获取system权限

看下存活主机

hashdump一下，得到本地管理员ntlm

cmd5一下，存在要付费，ok，再次拉倒，猜测还是弱密码

考虑到域控可以配策略更改本地管理密码，由于我想拿的是域管的密码，本地的密码就不跑了

(因为我本地密码没改过，和域管密码一样)

跑下mimikatz，拿到普通用户密码，因为域管没登过，所以lsass.exe里没有

这时候用system权限开3389

 远程连接没法连上，防火墙没放行，system权限执行命令让防火墙放行3389

 登录，该用户被限制，拉倒

算了直接关防火墙完事，感觉不关的话等下横向没法反弹回来

会话传给msf

挂个msf流量代理

会话转后台以后扫一扫基本端口

 都有445先扫一下ms17_010，顺便看下系统版本

都存在的话就跑一下，先跑域控

 这里msf挂了机器3的代理，所以监听ip设置成机器3的内网ip即可

看到一大串蒙了一下，就这？

结果失败了

xp的32位版本系统，msf的payload不适用，换ms08_067试试

 

cs基于机器3生成监听器

生成exe，msf的shell上传到机器2和机器3，机器2的shell执行，机器3留着后续用

 

 run mimikatz 抓下密码

域管密码get，接着打域控了

win7传个Psexec.exe

 传过去没打开，额

远程登录win7，和域控建立ipc管道，用psexec.exe连接cmd.exe

 执行beacon.exe文件

cs上线域控

 

 

简单做个权维，建个域管万能密码

 

 测试一下