这是 酒仙桥六号部队 的第 33 篇文章。

　　全文共计1491个字，预计阅读时长5分钟。

　　前言

　　各位老哥们，最近刚开始学内网安全，玩了一套红日安全的靶场，分享一个内网安全的基础文章，写得不好，不足之处还请多多指出。

　　

　　靶场介绍

　　模拟外网网段 192.168.1.0

　　模拟内网网段 192.168.52.0

　　攻击机

　　Windows10 IP：192.168.1.6

　　kali linux IP：192.168.1.30

　　web服务器（win7）

　　外网IP：192.168.1.12

　　内网IP：192.168.52.143

　　域用户（winser2003）

　　内网IP：192.168.52.141

　　DC (winser2008)

　　内网IP：192.168.52.138

　　拓扑图

　　

　　拿web服务器

　　nmap先看一下服务器开放的端口和服务。

　　

　　开放了80和3306端口，访问是个phpmystudy探针，包括绝对路径和一些php参数。

　　

　　访问网站看到是个yxcms，到网上去找一下这个cms有什么漏洞，发现漏洞还是挺多的，前台XSS、文件删除、文件写入，不过基本上需要进后台才能利用。

　　访问后台地址：

　　[http://192.168.1.12/yxcms/index.phpr=admin/index/login]

　　尝试默认密码直接进了。

　　

　　

　　不过应该是靶场的原因，这个cms还是比较多公开漏洞getshell的方式，后台模板功能直接写一句话到index.php中。

　　

　　一键连上。

　　

　　拿到webshell后，收集当前信息。

　　

　　直接就是一个管理员了，正常环境一般还需要提权操作，通过系统补丁情况来使用msf模块提权。

　　既然是管理员就直接添加用户了。

　　

　　查看端口，发现没开3389。

　　

　　改注册表键值开启3389。

　　

　　成功开启3389，但mstsc连不上，可能是被防火墙拦了，尝试关闭防火墙（动静比较大，建议使用命令配置防火墙策略允许3389端口放行）。

　　

　　成功登陆上web服务器。

　　进入内网

　　

　　进行内网信息收集，IP信息，得知外网IP 192.168.1.12和内网IP192.168.52.143，已经存在AD域，网段为192.168.52.0。

　　

　　当前登录域及登录用户信息net config Workstation。

　　

　　判断主域 net time /domain，主域一般用作时间服务器，这台明显不是。

　　

　　查看域成员 net view /domain:god

　　

　　收集一些其他的内网信息......

　　为了方便，用msfvenom生成个powershell反弹到msf。

　　

　　要抓取服务器密码hash权限不够，需要提权，getsystem失败，（也不建议用，动静比较大），用msf自带的补丁检测看看有没有能利用的漏洞。

　　

　　发现好像都不适用，用Windows ExploitSuggester再查了一下，发现可以使用ms16-014，并成功提到system权限。

　　

　　这边拿到的是一个shell，把它转成meterpreter，即session 4。

　　

　　mimikatz抓取用户hash，但没抓出明文密码。

　　

　　

　　在当前目录下传个mimikatz。

　　

　　用debug模式成功跑出管理员密码。

　　

　　

　　并且得到了域控的账户密码 administrator/hongrisec@2020。

　　横向渗透

　　刚才说内网网段是192.168.52.0，配置静态路由。

　　

　　然后用netbios协议扫描域网段，得到IP为192.168.52.138、192.168.52.141两台存活主机。

　　

　　对两台主机扫一下看看有没有ms17-010。

　　

　　由于永恒之蓝打Windows server 2003容易蓝屏，网上查了一些姿势。

　　使用ms17_010_command模块执行系统命令，添加用户至管理员。再配合用户名密码使用ms17_010_psexec模块。

　　

　　拿到的是system权限，添加用户test2并加到管理员组。

　　

　　

　　执行成功，但是没有拿到shell，不知道什么原因。

　　

　　那就直接rdp登录算了，配置socks4a *** 。

　　

　　然后用proxychains rdesktop 登录。

　　这边还用了ms17_010_command开了3389端口：

　　

　　msfvenom -p windows/meterpreter/bind_tcp

　　-e x86/shikata_ga_nai -i 5LPORT=6666 -f exe

　　用msfvenom生成一个正向马传进去（因为无法访问外网，反向出不来），msf正向连接。

　　

　　这样获得域用户，2003直接getsystem，最终拿到域用户192.168.52.141的system权限。

　　

　　跑出administrator用户密码也为hongrisec@2020。

　　获得域控

　　域控已经知道IP为192.168.52.138，且ms17-010的补丁未打，这边也和域用户一样获得shell。

　　通过 *** 上传msf马，正向连接s:

　　

　　由于已经知道了DC的账户密码，看了网上的教程，还可以使用wmiexec来命令执行，参考：[http://www.91ri.org/12908.html]

　　进入刚才的web服务器shell，把wmiexec.vbs传上去。

　　用DC的账户密码执行命令成功。

　　

　　最终获得所有权限，后续还有权限维持和清除痕迹，由于时间有限没有继续。

　　后续再进行可以尝试。

　　

　　总结

　　最近也是刚接触内网渗透，很多知识点掌握的不是很好，参考了网上很多的资料。

　　通过整个环境的搭建和查阅资料，对内网有了一个简单的了解，学到了很多，有不足之处还请多多指出。