一、靶场环境
1、获取跳板机、域控权限示意图
图片:
2、kali远程连接DC域控服务器示意图
图片:
二、信息收集
1、nmap扫描存活主机和端口开发信息
确定目标主机IP为192.168.52.171 ┌──(root㉿kali-3)-[/home/kali-3] 扫描存活主机IP和开放端口 ─# nmap -O 192.168.52.0/24
图片:
2、dirsearch扫描目标网站路径
爆出数据库文件,取得登录账户密码:(admin:web123) ┌──(root㉿kali-3)-[/home/kali-3] 扫描目标网站后台文件 └─# dirsearch -u www.webhack123.com/
SELECT * from NODES where local_relpath like "%.log" 数据库SQL语句 SQL: SELECT * FROMcv_adminWHERE (username= 'admin' ) AND (password= '74c774ef39b5b977c1fd59dbfc73c3e380a65aa3' ) LIMIT 1 admin加密密码:web123 图片:
3、dnsmap收集子域名
收集到后台管理员登录页面:admin.webhack123.com § 通过收集到的账号密码登录后台页面:(admin:web123) ┌──(root㉿kali-3)-[/home/kali-3] dnsmap扫描子域名 └─# dnsmap webhack123.com 图片:
4、后台页面上传木马文件webshell
上传一句话木马shell.php使用蚁剑链接
图片:
三、域内网渗透
1、CS上线、web主机信息收集
CS生成反弹shell木马上传到蚁剑 在web终端执行CS木马成功上线CS,并且是本地system权限 图片:
2、MS14-068.exe工具横向渗透----访问域控服务器dc共享目录
将hackbox\web域用户添加到web主机的本地远程桌面组中,上线域web用户 上传MS14-068.exe工具至域内web主机,并利用收集的web域账号密码(hackbox\web:!@#Qwe456)生成凭证
图片:
3、at定时任务横向渗透
将正向连接木马上传到跳板机,再复制到DC域控服务器 将PsExec.exe工具上传到web主机上,在跳板机上执行命令启动木马未成功 改变计划,使用at定时任务使DC成功上线CS
图片:
四、windows域内网权限维持
1、权限维持方式一:新增域管理员用户
图片:
2、权限维持方式二:PTT黄金票据
图片:
五、远程域控桌面
msf生成反向木马通过CS跳板机上传到web主机,使web跳板机上线msf msf基于web跳板机设置自动路由、开启socket5代理---》使kali能访问到10.10.10.0/24网段 msf生成正向木马通过CS上传到DC域控服务器,是DC域控服务器上线msf kali配置/etc/proxychains4.conf 文件,使用proxychains代理远程rdesktop连接DC域控服务器,并且用权限维持添加的hacker用户登录DC域控服务器
图片:
