声明:本文只做技术探讨并且全部在本地靶场,并且本人不会提供各种漏洞利用工具等。未经授权请勿利用本文的技术资料对任何计算机系统进行入侵操作,造成的直接或间接后果和损失,均由使用者本人负责,如不同意请关闭本文
最近乌鸦表哥做了一些内网靶场,没啥事就动动,靶场拓扑(我本地的win7走的net,所以与这个有所不同,我的出口ip是192.168.10.213):
老规矩,上来先扫端口:
系统是win7,445端口开放,直接TAmsf,17010走一波:
session下来了,看一下网卡信息
既然是靶机,肯定直接走内网,那就是下面那个10.10.20.0/24网段的主机,上传个fscan切换到交互式shell直接扫:
当前主机是10.0.20.98,那我们直接看99的就行,开放端口是80和6379,众所周知,80是web,6379是redis,msf开个socks然后火狐挂着socks访问一下80端口看看是啥玩意:
老规矩,挂着socks扫个目录先(俺喜欢点点点的小学生工具,这玩意主要看字典,用啥都一回事):
看看那个l.php去:
一个phpinfo的探针,原版的phpinfo()我记得有个拿shell的思路,这个应该没啥卵用先扔那扔着去吧放弃,直接看他6379的redis吧:
果然,redis未授权,因为刚刚有个探针,里面有他的web路径,那就直接通过redis拿shell就完了
蚁剑挂上代理连他:
权限为system,无需提权:
msf生成一个bindtcp的后门,直接丢上面去执行一下:
欸,死活没上线什么鬼,丢个防火墙规则再试一下:
上线了,既然是nt/system权限那就继续抓取一下hash:
直接解NTLM的hash结果是:Admin#123(别问我咋解的,你猜),蚁剑看下域控的用户和ip:
普通域成员用户下来了,域控ip也有了,掏出俺们团队牛逼闪电的qingy大佬给的打域控的小学生工具一把梭:
验证:
就不上线cs和msf了,打完收工,中间忽略了加第二层路由,这玩意不用我说,自己应该知道,最后:qingy大佬yyds!!!既然qingy大佬给我发了东西,那我就不挂他了,今天挂面条,他嘲笑我没对象,没错,好多天了,我就是这么小心眼又记仇,挂他就完了
原文始发于微信公众号(天幕安全团队):vulntarget-a 靶场记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论