内网渗透靶场01-利用域账号实现权限扩散

本次网络拓扑图，如下所示：

环境配置：

配置信息：
攻击机：
Windows10 192.168.111.128
目标机器
web服务器 
    Windows7:双网卡机器
    192.168.111.130(模拟外网地址）
    192.168.52.129
内网机器1：Windows server 2008R2:
            192.168.52.138
内网机器2: Windows 2003 Metasploitable
            192.168.52.141

利用扫描 工具针对192.168.111.0/24C段开展扫描，发现存活主机192.168.111.130

扫描发现服务器192.168.111.130开放80,3306,137端口。

直接爆破3306数据库，无果。

访问172.16.12.129 80端口，获得phpstudy探针页面，探针页面通常会泄露一些服务器的敏感信息，例如网站路径等，具体如下图所示

尝试利用mysql弱口令root/root进行连接测试，发现可以连接。

我们针对网站开展目录扫描，发现phpAdmin，具体如下：

直接访问访问网址：http://192.168.111.130/phpMyAdmin/

利用mysq弱口令账号l root:root成功登录该平台。

针对phpAdmin平台，可以通过SQL语句写入webshell后门，从而对服务器远程执行命令。

通常的测试流程如下：

        (1) 首先需要确认日志功能是否开启？

        执行SQL语句，发现目前日志功能是属于关闭状态，且默认的日志存储位置为C:\phpStudy\MySQL\data\stu1.log，具体如下：

SQL语句：show variables like "genenral_log%";

        

        （2）开启日志功能

SQL语句：set global general_log='on';

（3）更改日志文件目录：

SQL语句：set global general_log_file = 'C:\\phpstudy\\WWW\\shell.php'

(4)向日志文件写入web后门

select ""

select ""

直接访问webshell

 运行dir查看web目录发现意外惊喜：yxcms

访问yxcms

查看本页面，在公共信息部分泄露后台地址。用户名/密码

利用上述敏感信息泄露，成功登录后台，具体如下：

 在查看网站功能的时候发现在模板管理的位置，可以新建任意php文件，利用此，直接写入冰蝎马

使用冰蝎工具连接，植入CS木马。

远程运行hacker.exe木马之后，CS成功上线。 

查看系统进程

为了方便权限维持，我们进行进程注入，利用everthing.exe的进程，这样执行的好处在于即使hacker.exe被发现kill之后不会影响我们后渗透。进程注入之后发现成功上线

由于反弹shell的权限是Administrator，因此我们可以直接执行getsystem命令获取服务器的system权限。

针对域内信息进行信息收集域内包含3台主机，其中域控为192.168.52.138

查看cs target。发现存活主机192.168.52.138（域控） 以及192.168.52.141（域内成员主机）

通过上述分析 我们域内的结构大致如下：

        域控：192.168.52.138  域内成员主机：192.168.52.128以及192.168.52.141

现在目标是：如何拿下192.168.52.141以及域控192.168.52.138的服务器权限。

输入logonpasswords抓取Administrator的用户名密码哈希值，同时借助Administrator用户进行口令复用，尝试登陆其他主机

 使用pxexec建立IPC通道，上线 域控机器。如下图所示 全部域内主机被控制。