这是一篇不一样的write up
靶场网络拓扑:
1.扫描内网发现存在80和3306端口:
2.发现192.168.1.114,访问80端口:
3.用xray扫描,发现有phpmyadmin:
4.经过测试发现phpmyadmin存在弱口令:root/root
5.尝试利用phpmyadmin 日志写shell,先查看绝对路径:
代码语言:javascript复制 select @@datadir
C:phpStudyPHPTutorialMySQLdata
6.设置日志路径:
7.写shell:
8.直接访问,system权限:
本地信息收集:
无杀软
10.直接上线cs:
11.存在双网卡:
代码语言:javascript复制ipconfig
12.域名:root.redteam.lab
代码语言:javascript复制systeminfo
13.导出密码:
代码语言:javascript复制beacon> hashdump
14.解密administrator账户密码:
15.尝试开启rdp服务:
代码语言:javascript复制REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
16.成功登录192.168.1.114管理员桌面:
17.再上线管理员权限的beacon会话:
18.发现当前内网有两台机器:
19.利用pth(administrator权限)横向10.0.1.8失败:
20.拿到子域的时候应该要明白这是个子域,直接ping域名:
代码语言:javascript复制子域名:root.redteam.lab
父域名:redteam.lab
21.对10.0.0段进行扫描:
22.在现有的192.168.1.114上尝试对10.0.0.8进行pth(administrator权限)横向成功,当然也可以用impacket工具包里的psexec:
23.上cs,前期已经建立ipc链接,可以使用unc路径上传木马:
24.使用wmic执行命令发现不出网:
25.使用smb beacon:
26.传马,上线:
代码语言:javascript复制link 目标ip
27.本地信息收集:
28.发现当前账户为域管:
代码语言:javascript复制net group "domain admins" /domain
29.拿到域管权限可以使用dcsync导出所有账户hash:
30.解密:
31.开启域控3389:
32.本机查看域结构的时候发现这个机器:
33.尝试ping:
34.成功横向至10.0.0.7:
35.开启3389:
36.成功:
37.桌面有个邮件,点开:
38.成功:
