重拾老本行
靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶机网段:
win7 192.168.82.0/24,192.168.226.0/24
windows server 2008 192.168.226.0/24
win2003 192.168.226.0/24
kali ip: 192.168.82.128
拓扑:
tips:需要进入靶机将网络设置为自动获取IP,需要改登录密码就按要求改登录密码,web服务器phpstudy需要手动开启,如果启动phpstudy出现error就重下一个phpstudy。
需要我们getshell再横向渗透,拿下域控。因为是黑盒测试所以按照一般黑盒的流程来
nmap扫描,发现目标存在web和mysql服务,ip为192.168.82.129
先从web下手,首页是phpstudy探针,获取到了网站的绝对路径
xray扫描发现了phpmyadmin以及phpinfo(dirsearch和nikto也能扫出来)
弱口令登录:root/root(平时挖洞怎么就没碰上这等好事Orz),知道了根目录就直接into outfile写入一句话。但--secure-file-priv参数为null所以执行失败。
采用慢日志getshell,当然一般的操作日志也ok,这里就不赘述了。
蚁剑连接,成功getshell。64位win 7系统
祭出我大半年没用的cs,生成exe木马然后在蚁剑上用cmd执行,多次尝试后目标成功上线(也许是listeners的问题)(最高にhigh!!!!!てやつだ) 
第一阶段算是结束了。
没有system怎么行,接着利用ms14-058提权。
dump hash运行mimikatz,可以在credential查看获取到的密码。
利用proxychains代理进内网,msf扫描之后发现内网两台主机都存在ms17-010。默认payload打不通,win2003用windows/shell/bind_tcp的payload可以拿shell。DC利用auxiliary/admin/smb/ms17_010_command模块可以命令执行但尝试开启3389失败。
创建新用户remon535,密码为abcABC123!@#(之前多次创建失败,是因为密码复杂度不够,不符合policy),把用户导入管理员组,开3389,rdesktop连接。
执行命令proxychains4 rdesktop 192.168.226.133 -r disk:beacon=/root/weapons。相当于是映射了kali的/root/weapons目录到windows
直接点击木马(listener ip是win7的内网ip)
win2003 cs上线
利用psexec pth(pass the hash)横向渗透。tips:因为靶场不是一次性做完,中途关闭了靶机。所以这里的ip地址发生了变化
DC机上线
写在最后:
这个靶场的主机基本没啥防护措施,无杀软。web服务的cms也存在漏洞。渗透的方式五花八门。很适合作为渗透入门的练习。这里只是拿到了权限,真实渗透环境中需要做的事还有很多,目标的信息获取,权限维持,痕迹清理等。