论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
搜索
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
Email
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
ToB企服应用市场:ToB评测及商务社交产业平台
»
论坛
›
软件与程序人生
›
后端开发
›
Java
›
红日安全内网渗透靶场-VulnStack-1
红日安全内网渗透靶场-VulnStack-1
张国伟
金牌会员
|
2022-9-6 10:11:24
|
显示全部楼层
|
阅读模式
楼主
主题
622
|
帖子
622
|
积分
1866
0x00.网络拓扑
0x01.环境搭建
一共有三台虚拟机Win7(对外),Win2003和Win2008(对内)
Win2003:添加一张网卡(VMnet1)
Win2008:添加一张网卡(VMnet1)
Win7:添加两张网卡(VMnet1,VMnet8)
网络环境配置完成之后首先打开Win2008,使用默认账号GOD\liukaifeng01,密码hongrisec@2019进行登录,登录后提示密码已过期,修改新密码之后重启即可,然后切换到GOD\Administrator用户重复前面的操作,重启Win2008后打开另外两台机器,在Win7上打开Phpstudy服务
Win2008:
Win7:
开启Phpstudy后访问本机web页面查看服务是否正常
至此环境搭建完成.
0x02.信息收集
Nmap扫描目标端口,检测服务
发现目标开启Web服务和数据库服务,访问目标Web服务
发现探针页面,使用dirsearch扫描网站目录
发现存在phpmyadmin
0x03.漏洞探测
直接尝试弱口令登录,root/root成功登录
登录phpmyadmin后可以尝试into outfile写文件getshell或者日志getshell
写文件getshell首先查看数据库是否有读写文件权限
secure_file_priv=null 则数据库没有读写文件权限,那么换另外一种方法,使用日志getshell
0x04.漏洞利用
general_log=OFF 则日志功能关闭,先将日志功能打开然后修改日志保存路径到网站目录下
SET GLOBAL general_log="log" 打开日志功能
SET GLOBAL general_log_file="C:/phpStudy/WWW/loglog.php" 修改日志保存路径在网站根目录下
修改成功
直接写入一句话木马getshell
访问日志文件,成功getshell
使用蚁剑连接刚刚写入的webshell,进入虚拟终端执行whoami查看当前用户
ipconfig查看网卡信息发现有两张网卡,一张通往外网,一张为内网
猜测内网有其他机器,利用Cobalt Strike生成后门并上传 进行权限提升
0x05.内网信息收集
创建监听器
生成后门,监听器选择刚刚创建的监听器
将后门文件上传至靶机
在蚁剑中使用虚拟终端运行后门文件,运行完成后CS中靶机已经上线
sleep 0 设置回连间隔为0s
shell whoami 查看当前用户
shell hostname 查看主机名
shell net users 查看靶机上存在的用户
shell systeminfo 查看靶机信息
shell tasklist 查看靶机进程
收集完靶机基本信息后接下来判断内网是否存在"域"
shell net config workstation 发现存在域GOD,且域内有三台主机
shell net view /domain:god 查看域内主机
0x06.权限提升
选择自带权限提升功能
选择监听器和提权方式
提权成功会以system身份新上线一个会话
0x07.横向移动
在进行横向移动前先将防火墙关闭
shell netsh firewall show state 检查防火墙状态
shell netsh advfirewall set allprofiles state off 关闭防火墙
点击目标列表可以查看当前域内的所有目标
shell dclist 查看域控列表
hashdump抓取本机用户哈希密码
logonpasswords获取明文密码
查看密码凭证
接下来准备攻击域控
首先创建一个smb监听器
横向移动到域控,用户名和密码选择刚刚获取到的,监听器选择创建的SMB监听器,会话任选一个即可
点击运行后域控成功上线
接着对域成员进行攻击
和攻击域控一样的方法,监听器选择SMB,会话选择域控
至此,拿下内网全部主机
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
使用道具
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
张国伟
金牌会员
这个人很懒什么都没写!
楼主热帖
浅入浅出 1.7和1.8的 HashMap
MyBatis 查询数据库
Prometheus配置Basic Auth进行安全防护 ...
MySQL与Java常用数据类型的对应关系 ...
java生态下后端开发都有哪些技术栈? ...
《Terraform 101 从入门到实践》 前言 ...
翻译|K8s权限提升: 集群中过多权限引发 ...
夜莺项目发布 v6.5.0 版本,暗黑菜单来 ...
JAVA 装箱拆箱--到底指什么呢? ...
ThinkPHP5 远程命令执行漏洞
标签云
挺好的
服务器
快速回复
返回顶部
返回列表