补一下靶场环境
win7:192.168.0.102(桥接网卡)192.168.52.143(Nat网卡) VM1
win2003:192.168.52.141(Nat网卡) VM2
win2008r2:192.168.52.138(Nat网卡) VM3
拓扑图如上,上一篇已经拿到了VM1的shell,且进行了主机与域内信息收集,通过收集的信息已经确定了域控ip,和大致能描绘出内网基本拓扑图,如上期所说,此靶场难度为易,非常适合练习内网渗透各种姿势!
开始整活
一开始通过VM1的phpmyadmin日志写马获取到了蚁剑shell,上传木马进行CS上线
进程注入提权为system权限
右键视图中第一个会话选择执行->转储Hash
成功读取出win7这台主机的账号密码,点击凭据列表可知如下结果,因为此时域控就在win7登陆着,所以直接可以读出来域控的Administrator的明文密码。
在上篇中,通过CS的会话net view功能,探测出内网存活主机如下,确定了域控IP为192.168.52.138。那么此时就已经本次渗透测试结束了,有了域控账号密码还有其ip,当然这就是靶场的特殊性所在,练习为主。实战很难有这么顺利。
这里就引出我们第一种方法,可以进行CS的psexec模块进行登录。
要进行账号密码登录域控win2008那台主机,直接本地CS起一个监听肯定是不行的,因为不通目标网,所以这里采用win7作为跳板的形式,起一个win7的派生smb beacon。
关于smb beacon,使用windows命名管道进行流量封装,再通过父beacon进行通信,流量相对较隐蔽,对于绕过防火墙有奇效。
再在目标视图内,右击目标选择 psexec,进行配置选项。
显示成功获得域控主机OWA的beacon,且权限为system。
直接type查看域控桌面的flag即可。
上面这种方法太过理想化
拿到win7shell后,有多种选择,弹到metasploit,CS上线,弹到Empire或者直接代理把内网代理出来硬撸,方法多多,但用工具辅助一定会提高渗透效率。
CS视图列表中有个主机和端口扫描,信息收集上篇已做
CS和metasploit联动,需要CS起一个foreign监听,然后metasploit加载监听模块,cs的beacon进行派生即可。
弹到meterpreter以后,添加52网段的路由。
查看当前已经添加的路由
msf自带socket模块,但因为是S4的不稳定,这里我们通过蚁剑或者meterpreter上传ew进行socket5代理,在win7上执行下面语句
netsh advfirewall set allprofiles state off 关闭防火墙
ew_for_Win.exe -s ssocksd -l 9999 开启socket代理
socket代理:192.168.0.102 9999
那么此时攻击机可以选择 proxychains进行一些端口探测、访问其网站、打一些exp,注意ping命令不可以,因为socket协议不支持icmp
浏览器挂上socket5代理,访问域控可得到这个页面
这里直接ms17-010直接打域控即可,我们msf流量已经代理进了内网。这是最简单的一种方法。
使用msf的auxiliary/admin/smb/ms17010command 模块进行读取flag操作。同样的域控权限就拿到了。
此靶场票据注入、ms14-068、WMI等等均可获取域控服务器权限。很不错的综合域渗透基础靶场,后续会慢慢补全其他姿势。