0x00:寫在前面
補一下靶場環境
win7:192.168.0.102(橋接網卡)192.168.52.143(Nat網卡) VM1
win2003:192.168.52.141(Nat網卡) VM2
win2008r2:192.168.52.138(Nat網卡) VM3
拓撲圖如上,上一篇已經拿到了VM1的shell,且進行了主機與域內信息收集,通過收集的信息已經確定了域控ip,和大致能描繪出內網基本拓撲圖,如上期所說,此靶場難度為易,非常適合練習內網滲透各種姿勢!
0x01:橫向移動
開始整活
一開始通過VM1的phpmyadmin日誌寫馬獲取到了蟻劍shell,上傳木馬進行CS上線
進程注入提權為system權限
右鍵視圖中第一個會話選擇執行->轉儲Hash
成功讀取出win7這臺主機的帳號密碼,點擊憑據列表可知如下結果,因為此時域控就在win7登陸著,所以直接可以讀出來域控的Administrator的明文密碼。
在上篇中,通過CS的會話net view功能,探測出內網存活主機如下,確定了域控IP為192.168.52.138。那麼此時就已經本次滲透測試結束了,有了域控帳號密碼還有其ip,當然這就是靶場的特殊性所在,練習為主。實戰很難有這麼順利。
這裡就引出我們第一種方法,可以進行CS的psexec模塊進行登錄。
要進行帳號密碼登錄域控win2008那臺主機,直接本地CS起一個監聽肯定是不行的,因為不通目標網,所以這裡採用win7作為跳板的形式,起一個win7的派生smb beacon。
關於smb beacon,使用windows命名管道進行流量封裝,再通過父beacon進行通信,流量相對較隱蔽,對於繞過防火牆有奇效。
再在目標視圖內,右擊目標選擇 psexec,進行配置選項。
顯示成功獲得域控主機OWA的beacon,且權限為system。
直接type查看域控桌面的flag即可。
0x02:方法2:CS聯動metasploit進行橫向移動
上面這種方法太過理想化
拿到win7shell後,有多種選擇,彈到metasploit,CS上線,彈到Empire或者直接代理把內網代理出來硬擼,方法多多,但用工具輔助一定會提高滲透效率。
CS視圖列表中有個主機和埠掃描,信息收集上篇已做
CS和metasploit聯動,需要CS起一個foreign監聽,然後metasploit加載監聽模塊,cs的beacon進行派生即可。
彈到meterpreter以後,添加52網段的路由。
查看當前已經添加的路由
msf自帶socket模塊,但因為是S4的不穩定,這裡我們通過蟻劍或者meterpreter上傳ew進行socket5代理,在win7上執行下面語句
socket代理:192.168.0.102 9999
那麼此時攻擊機可以選擇 proxychains進行一些埠探測、訪問其網站、打一些exp,注意ping命令不可以,因為socket協議不支持icmp
瀏覽器掛上socket5代理,訪問域控可得到這個頁面
這裡直接ms17-010直接打域控即可,我們msf流量已經代理進了內網。這是最簡單的一種方法。
使用msf的auxiliary/admin/smb/ms17010command模塊進行讀取flag操作。同樣的域控權限就拿到了。
0x03:總結
此靶場票據注入、ms14-068、WMI等等均可獲取域控伺服器權限。很不錯的綜合域滲透基礎靶場,後續會慢慢補全其他姿勢。