本文章仅限学习使用,最近刚刚接触内网的学习,好多地方还没有摸索清楚,有技术性问题请各位大佬多多批评指正!!!
(一)靶场地址分配:
配置完毕,进入win7启动web服务,学习开始
(二)web服务器渗透
nmap探测端口,发现只开启了80和3306
访问web地址,发现为php探针
探针底部有mysql数据库连接
测试弱口令root root,连接成功(靶场环境就是香)
使用工具连接数据库看看能不能连接上(貌似在想peach)
只好扫一手目录
发现phpmyadmin,使用弱口令登录到数据库
还是喜欢使用navicat,输入命令放行主机地址远程连接数据库
GRANT ALL PRIVILEGES ON *.* TO ‘root’@’192.168.226.1’ IDENTIFIED BY ‘root’ WITH GRANT OPTION;
flush privileges;
成功远程登录(直奔网站数据库,查找后台登录用户名)
发现网站为yzcms,同时也找到了登录账号和密码,但是密码被加密了
Md5解密,发现又是一串密文949ba59abbe56e05
再解密一次,失败
这个时候就到了相信某度的时候,直接网上搜一下
访问yxcms,点击后台登录,然后根据数据库命名规则,修改member为admin成功找到后台登录页面,尝试用户名:admin 密码:123456 成功登录后台
网上搜了一下yxcms的漏洞,发现前台模块可上传webshell,直接写进去一个一句话木马
结合robots.txt泄露的目录,找到真实地址,蚁剑连接(后来看其他大佬的文章发现也可以使用目录穿越的方法直接将木马写到根目录../../../../../test.php)
打开终端执行命令,直接就是管理员权限,创建新用户并加入到管理员组
开启3389端口,偷偷的修改防火墙配置放行3389,成功远程登录到web服务器
(三)内网信息收集
查看内网地址网段为192.168.52.0(省略部分信息收集过程)
使用msfvenom生成powershell木马反弹到msf(还不会免杀)
将test.ps1上传到web服务器,msf开启监听
运行test.ps1(发现powershell策略禁止执行脚本)
修改当前powershell执行策略(必须为系统管理员运行powershell)
再次执行脚本,成功反弹会话
想使用mimikatz抓取服务器hash密码,但是权限不足,需要提权
使用Windows-Exploit-Suggester(根据操作系统版本,跟systeminfo生成的文件进行比对)检测一下可利用漏洞
官方工具地址:
https://github.com/GDSSecurity/Windows-Exploit-Suggester
将win7系统信息生成win7.txt
kali中运行Windows-Exploit-Suggester工具
发现可以使用ms16-014,并且成功利用提权到最高权限
使用mimikatz成功抓取到管理员密码,并且得到了域控的用户密码
(四)内网横向渗透
配置静态路由
使用msf自带netbios扫描内网存活机器,发现存活机器两台,地址分别为192.168.52.138和192.168.52.143
使用msf自带模块检测端口
发现开放445端口
检测ms17-010,发现两个地址都有漏洞(在网上找到不蓝屏的姿势),使用ms17-010-command模块执行命令
发现可以成功执行命令,添加新用户并加入管理员组,但是开放3389失败(各种方式都没打开)
只好把shell弹到cs里面
先抓取一下hash密码,再扫描一下内网段
添加smb会话,使用psexec直接拿域控shell
作为强迫症以及对图形化的喜爱,必须要开启3389
回到kali里面配置socks4a代理
修改proxychains配置文件,文件位置/etc/proxychains.conf
远程连接内网主机
大功告成
结尾处附上思维导图,也算是对本次学习的总结
学习的过程总是快乐的,记录一次学习的过程,不足之处,请及时指出,谢谢!!!
来源:freebuf.com 2020-08-28 14:59:50 by: IT界的奥尼尔
请登录后发表评论
注册