[ HOME ]  [ 隱私政策 ]  [ 0day ]  [ 業務合作 ]  [ 獲取金幣 ]  [ ins破解 ]  [ Facebook破解 ]  [ faq ]  [ 联系我们 ]  [ 遠程控制木馬 ]  [ 合作方式 ]    用戶: 40393     
Telegram联系我们

標題:VulnStack ATT\u0026CK 5 靶場

T

taibeihacker

Moderator

VulnStack ATTCK 5 靶场​

信息搜集​

端口扫描​

利用nmap 掃描端口,發現開啟了兩個端口: 80 和3306
20200323152943.png-water_print

訪問80 端口發現是thinkphp v5 的站
20200323143842.png-water_print

隨便訪問一個錯誤頁面得到其版本號是5.0.22
20200323143851.png-water_print

漏洞搜索​

searchsploit 搜索相關漏洞:
20200323144520.png-water_print

20200323144508.png-water_print

嘗試使用EXP 執行命令ipconfig, 如下圖所示:
20200323144530.png-water_print

漏洞利用​

查看權限:
20200323153315.png-water_print

查看web 目錄:
20200323153239.png-water_print

寫入shell:
20200323153256.png-water_print

生成远控​

新建 listener​

20200323153614.png-water_print

生成 payload​

20200323153650.png-water_print

上传远控​

連接webshell:
20200323153444.png-water_print

上傳:
20200323153734.png-water_print

執行:
20200323153800.png-water_print

反彈回的shell:
20200323153834.png-water_print

執行shell whoami:
20200323160308.png-water_print

权限提升​

再新建一個listener,做為提權等操作使用
(smb 和tcp 都可以,我選擇tcp, smb 適合橫向)
20200323161941.png-water_print

作者在cs4.0 移除了漏洞exp的提權,可在https://github.com/rsmudge/ElevateKit 重新添加到cs 中。
使用的是ms14-058 漏洞的exp 進行提權:
20200323162110.png-water_print

20200323162356.png-water_print

20200323162402.png-water_print

横向移动​

通過explore-Process List 先查看一下進程,看看有沒有殺毒軟件(在local system操作)
20200323162658.png-water_print

發現並沒有殺毒軟件,這樣我們日後的橫向移動活動將更為順利。

关闭防火墙​

使用命令netsh advfirewall set allprofiles state off 關閉防火牆
20200323162821.png-water_print

内网的信息搜集​

(先在local admin操作,因為system權限看不到登錄域)

获取当前登录域​

通過命令net config workstation 獲取登錄域
20200323163025.png-water_print

我們可以看到,工作站域是sun.com可現在登錄域是win7。因此我們需要一個域用戶的進程來進行信息蒐集
在此之前先調用Logonpasswords 抓一波密碼(在local admin 和local system 上操作都可以)
20200323163627.png-water_print

利用密碼:
第一種:使用make_token 去調用
第二種:使用pth 命令生成一個新的進程注入進去
第三種:使用spawn as
需要用這三種方法調用我們剛剛以及抓取的憑證以繼續完全相應的信息收集操作
第一種:Make_token Make_token 是在當前的beacon 上進行身份偽造
在當前beacon 上,您的權限、權限或標識沒有變化。但是,當您與遠程資源交互時,使用的是您偽造的身份。
使用rev2self 命令丟棄口令
20200323164151.png-water_print

20200323164230.png-water_print

第二種: PTH Pth ( pth 會生成一個進程,生成過後我們需要steal_token,steal_token 過後也是使用rev2self 丟棄口令)
20200323164437.png-water_print

使用命令steal_token 7912:
20200323164529.png-water_print

第三種:Spawnas
spawnas 命令生成具有其他用戶憑據的beacon:
20200323164802.png-water_print

當然除此以可以用Processes inject 去直接注入到某個用戶的進程(這裡的操作需要system 權限,在local system 進行操作)

查看内网的主机/域主机​

使用net view 指令查看內網的主機(加域名即為查看域主機)
20200323174136.png-water_print

查看信任域​

使用net domain_trusts 查看信任域
20200323174326.png-water_print

查看域内计算机​

使用net computers {域的dns名,這裡是sun.com} 查看域內計算機:
20200323174515.png-water_print

查看域控​

使用net dclist {域名稱,這裡是sun} 查看域控:
20200323174624.png-water_print

查看域管理员​

使用net group \\{域控名,這裡是DC} domain admins 查看域管理員:
20200323174807.png-water_print

查看域和用户的 sid​

使用whoami /all 查看域和用戶的sid:
20200323174956.png-water_print

信息汇总​

1
2
3
4
5
6
7
8
9
10
11
域名:sun.com
域管理員:sun\administrator
域用戶:administrator,admin,leo和一個krbtgt
域控:DC
域成員:DC,Win7
域控ip:192.168.138.138
用戶sid:S-1-5-21-3388020223-1982701712-4030140183-1110
域sid:S-1-5-21-3388020223-1982701712-4030140183
已知憑據:
sun\leo:123.com
win7\heart:123.com

域提权​

利用ms14-068 域提權
20200323175842.png-water_print

導入偽造緩存:
20200323180100.png-water_print

20200323180147.png-water_print

横向到域控​

(在domain user 的beacon 上操作)
這裡創建一個listener 作為橫向演示,名字為Lateral Movement ,我選擇smb_beacon 更好,smb beacon 能過防火牆,動靜小
(在cs4.0 中,有jump 和remote-exec 命令)
點擊View-Target:
20200323180522.png-water_print

因為我們已經有權限訪問DC了,直接勾選下面的使用當前口令即可:
20200323180653.png-water_print

DC 成功上線:
20200323180810.png-water_print

20200323180942.png-water_print

权限维持​

黄金票据​

首先先利用logonpasswords 抓一波明文(在名為DC的Beacon進行操作)
20200323181311.png-water_print

使用dcsync 命令導出krbtgt 的NTLM Hash,或者,使用hashdump 也可以導出hash
20200323181439.png-water_print

為了方便於實踐黃金票據,手動生成了一個新的域用戶geekby:
20200323184757.png-water_print

20200323185108.png-water_print

20200323185125.png-water_print

20200323185136.png-water_print
 
你必須登入或註冊才能在此回覆。

Partner Website 友情鏈接 : 黑客漏洞仓库 臺灣駭客團隊論壇 全球最大的中文黑客论坛 한국 해커 팀 포럼 The dark Web hacking team 骇客团队 HACKER.BZ UKhacker
臺灣黑客團隊論壇:聲明,本網站的教程、文章、工具和其他相關內容僅供學習和研究使用,旨在提高公眾的網絡安全意識和防護能力。
我們強烈反對任何形式的非法活動,禁止未經授權的入侵、攻擊、破壞他人的網絡系統等行為。
Copyright © 2013-2025 Hackerninja 您可以聯系我們的Telegram進行業務合作: @APTs37  网站地图Sitemap
返回
上方