靶场测试学习 – 作者:lidasimida

前言

此次靶场测试是很久以前进行的漏洞学习测试，比较符合初学者学习的漏洞组合测试，真实环境没有那么简单，本篇文章仅提供参考。

PS：本文仅用于技术讨论，严禁用于任何非法用途，违者后果自负。

一、web漏洞提权

1、使用御剑扫描目录获取到管理员后台登陆界面，使用nmap只能扫描到80端口开放，然后登陆后台管理，尝试弱密码登陆，账号admin和密码admin123登陆成功。

2、登陆页面之后发现页面有上传文件，尝试直接上传一句话木马php，文件报错，尝试截断上传，发现绕不过去，然后尝试修改上传格式，添加了php格式，上传还是不成功。

3、然后在到前台界面尝试sql注入，由于页面没有sql语句报错，尝试了布尔值注入，只能拿到数据库名字metinfo。

4、接下来无法进行下一步，然后再回去查看metinfo的版本，百度查看了该系统版本存在的漏洞，找到了文件上传的方法，编写了一个html文件，成功上传一句话木马。

5、而且在页面执行成功，然后上菜刀，打开了该电脑，然后查看了administrator的桌面发现flag文件。

6、打不开之后，尝试上传QuarksPwDump.exe软件到windows\temp目录下，虚拟终端执行了成功获取到hash值，然后cmd5在线翻译了得到密码123.com，在使用ms15-051.exe成功提权。

二、使用代理拿下win7

这是proxychains拿下内网的终端，第一段就显示可以提权，可以执行任意命令了，有很多种方式。

1、由于win3的是phpstudy，所以将tunnel.nosocket.php文件放到www目录下，然后远程打开，确定能打开之后，然后使用kali的python环境将代理挂上。

2、使用proxychains nmap扫描对应的端口445是否开放，然后将使用proxychains msfconsole创建木马连接win7。

3、使用ms17_010连接上win7获取meterpreter，然后执行shell，发现反弹不了cmd.exe。

4、使用msfvenom另外生成一个lida.exe木马，使用meterpreter上传到目标服务器。

5、使用在另外开一个msfconsole，使用exploit/multi/hander，设置端口，exploit挂上代理，然后原来的meterpreter使用execute -f lida.exe执行木马即可反弹代理。

6、第二个meterpreter即可生成，使用shell成功执行，原来的meterpreter可以先不用关掉，可以用来上传文件，先是上传mimikatz.exe、mimidrv.sys和mimilib.dll。

7、第二个meterpreter获得的shell(系统权限)执行它，然而并没有获取到本机的hash值，我上传Invoke-Mimikatz.ps1，然后在第二个meterpreter返回的shell输入powershell -exec bypass “import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz” 返回了hash值。

三、域提权

1、在第二个meterpreter输入ps查看进程，知道了hacker的test进程之后，使用migrate+pid(test的任意一个)，然后getuid查看了解到了身份已经变成test身份了。

2、使用whami /all查看test的sid，然后使用net view查看了域管的计算机名，再使用14068py.exe -u [email protected] -p “123.com” -s SID号 -d 域控计算机名.hacker.com获取[email protected]

3、使用klist purge清除票据，然后就可以dir \\域管计算机名\c$连接上域管了。

4、这里我连获取域hash值一块做了，再输入mimikatz.exe，输入lsadump::dcsync /domain:hacker.com /user:administrator /csv获取域hash值。

概述：

本篇文章为一个较为简单的渗透过程，模拟的是从web浏览器对服务器进行发起攻击，使用提权方法获得外网服务器的最高权限，然后使用代理的方式，将外网服务器作为跳板，对外网服务器能够访问到的内网服务器发起攻击，然后使用上传exe反弹shell的方式令内网反弹到kali上，使用kali上传mimikatz等工具获取域管权限，还有清理环境未展开，以及信息收集等手段也过于简陋，本篇内容仅是一个思路。

来源：freebuf.com 2020-12-28 09:05:47 by: lidasimida