渗透攻击红队 redTeam -3 writeup

2023-04-19 10:47:05 浏览数 (2)

这是一篇不一样的write up

靶场网络拓扑:

1.扫描内网发现存在80和3306端口:

2.发现192.168.1.114,访问80端口:

​3.用xray扫描,发现有phpmyadmin:

4.经过测试发现phpmyadmin存在弱口令:root/root

5.尝试利用phpmyadmin 日志写shell,先查看绝对路径:

代码语言:javascript复制
 select @@datadir
C:phpStudyPHPTutorialMySQLdata

6.设置日志路径:

7.写shell:

​8.直接访问,system权限:

本地信息收集:

无杀软

10.直接上线cs:

11.存在双网卡:

代码语言:javascript复制
ipconfig

12.域名:root.redteam.lab

代码语言:javascript复制
​systeminfo

​13.导出密码:

代码语言:javascript复制
beacon> hashdump​

14.解密administrator账户密码:

​15.尝试开启rdp服务:

代码语言:javascript复制
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f​

​16.成功登录192.168.1.114管理员桌面:

​17.再上线管理员权限的beacon会话:

18.发现当前内网有两台机器:

19.利用pth(administrator权限)横向10.0.1.8失败:

20.拿到子域的时候应该要明白这是个子域,直接ping域名:

代码语言:javascript复制
子域名:root.redteam.lab
父域名:redteam.lab

​21.对10.0.0段进行扫描:

2尝试对10.0.0.8进行pth,成功:

22.在现有的192.168.1.114上尝试对10.0.0.8进行pth(administrator权限)横向成功,当然也可以用impacket工具包里的psexec:

​23.上cs,前期已经建立ipc链接,可以使用unc路径上传木马:

24.使用wmic执行命令发现不出网:

​25.使用smb beacon:​

26.传马,上线:

代码语言:javascript复制
link 目标ip

27.本地信息收集:

28.发现当前账户为域管:

代码语言:javascript复制
net group "domain admins" /domain

29.拿到域管权限可以使用dcsync导出所有账户hash:

30.解密:

31.开启域控3389:

32.本机查看域结构的时候发现这个机器:

33.尝试ping:

34.成功横向至10.0.0.7:

35.开启3389:

36.成功:

​37.桌面有个邮件,点开:

​38.成功:

0 人点赞