vulnstack1 域渗透记录

靶场来源:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

  • 环境拓扑图:


    靶场搭建:
    攻击机kali:192.168.1.146
    web:192.168.1.208 192.168.52.133
    PC:192.168.52.141
    DC:192.168.1.138

  • 靶场环境配置:
    登录web机器

  • 因为所有机器默认密码为hongrisec@2019
    登录即可
    进C盘有phpstudy,在其目录下有phpstudy的执行文件,运行启动服务


  • 网络配置



  • pc机器网络:

  • 环境搭好了,现在开始开搞了
    由于192.168.1.208开启了防火墙,ping不通,我们使用 -Pn(扫描前不进行ping操作) -sR(RPC扫描) -v(显示详情)

  • 这里可以看到开通了http和mysql服务,且是php语言

  • 进网站看一下发现是yxcms,搜一下有没有相关的漏洞可以利用
    同时开启dirsearch 开始扫描目录

  • 扫出来的常见目录都是没权限访问的

  • 直接看扫敏感目录有phpmyadmin,存在弱口令,这里直接登录进去

  • 查看sercure_file_priv有没有值,无值则可写,这里是null,不可写。

  • 尝试写日志
    查看日志开启状态及当前写入路径

  • 日志显示关闭,我们将其打开


  • 查看网站路径
    show variables like '%general%'

  • 更改日志路径

  • 写入一句话

  • 蚁剑连接

  • 进入终端,ipconfig查看ip信息,可以看到存在另一个网段52

  • 监听,构造木马上传,运行




    拿到session 1
    查看系统信息

  • 准备派生至cs
    设置payload,准备注入session 1

  • 启动vps服务器及客户端

  • 新建监听

  • run payload_inject
    cs上线

  • 导出hash


  • 尝试加载kiwi模块,获取不到账号密码

  • meterpreter迁移进程,这里要迁移到x64位程序上,且是system权限的。如果不小心迁移到低权限的那就再提权上来咯(手动滑稽)


    自动迁移进程:run post/windows/manage/migrate
    迁移完后,若原先的pid未自动关闭,请手动关闭
    lsof -i:pid
    kill pid

  • 权限为system后,再次尝试加载kiwi模块
    load kiwi


    creds_all

  • load mimikatz
    mimikatz_command -f sekurlsa::searchPasswords 
    
  • 获取明文密码

  • 进shell乱码,输入chcp 65001

  • 创建用户

  • 远程桌面,连接不上,检查下,端口状态是filtered

  • 开启端口

    run post/windows/manage/enable_rdp 
    

  • 连接成功




    这里先不登录,查看下有没有域信息

  • 域信息搜集

    net time /domain #查看时间服务器 
    net user /domain #查看域用户 
    net view /domain #查看有几个域
    net group "domain computers" /domain #查看域内所有的主机名
    net group "domain admins" /domain #查看域管理员
    net group "domain controllers" /domain #查看域控
![-w522](media/16154500707802/16154561719950.jpg)
![-w713](media/16154500707802/16154561798281.jpg)
![-w779](media/16154500707802/16154564600219.jpg)
![-w664](media/16154500707802/16154564776601.jpg)
![-w693](media/16154500707802/16154565239336.jpg)

* 若是测试的时候觉得cs睡眠时间过长默认1分钟,太难等,把他改短一些
![-w610](media/16154500707802/16154563765853.jpg)

* 从以上信息可看出
域:god.org
域控:OWA
域管理员:administrator(当前主机)
域内用户:administrator,ligang,liukaifeng01
域内主机:DEV1,ROOT-TVI862UBEH,STU1
目前还不知道另外两台域内机器的ip

* 添加路由扫描内网
![-w1076](media/16154500707802/16154574836093.jpg)
配置socks4
![-w647](media/16154500707802/16154575199335.jpg)
![-w686](media/16154500707802/16154575299565.jpg)

* 开始内网存活主机扫描
扫出两台机器138,141。
138为OWA(域控)
141为ROOT-TVI862UBEH
![-w699](media/16154500707802/16154575523990.jpg)

* 先扫描下141的开放端口
![-w709](media/16154500707802/16154577463536.jpg)
避免误差,开nmap也扫一下,这里1-10000太大,可调小一些或指定端口
![-w696](media/16154500707802/16154577590761.jpg)

445端口开放,可以尝试MS17-010
![-w689](media/16154500707802/16154578125189.jpg)
![-w1421](media/16154500707802/16154578939207.jpg)
![-w704](media/16154500707802/16154579023519.jpg)
这里run后失败了,打不进去。

尝试PsExec攻击,官网下载的psexec用不了,
最后从悬剑里提出来可以用
但是在终端中执行攻击的时候发现一直卡住,入下图
![-w930](media/16154500707802/16154581823850.jpg)
后来登录进138后发现执行会弹出确认框
![-w672](media/16154500707802/16154583102581.jpg)
尝试多次发现密码域控机器的密码过期了,没有修改
![-w1024](media/16154500707802/16154583744254.jpg)
登录域控机器修改下密码
![-w1440](media/16154500707802/16154583954358.jpg)
执行成功
![-w1440](media/16154500707802/16154584089968.jpg)
然后再通过psexec连接141
后面就不继续了,睡一觉醒来电脑没电了,又得重新搞,暂时先到这里

posted on 2021-03-11 20:45  Ra7ing安全实验室  阅读(355)  评论(0编辑  收藏  举报

导航