环境搭建
这个靶场相对于前几个靶场来说较为简单,只有两台靶机,其中一台主机是win7,作为我们的DMZ区域的入口机,另外一台是windows2008,作为我们的域控主机,所以我们只需要给我们的win7配置两张网卡,给我们的Windows2008配置一张网卡即可,如下所示
我们的IP地址如下所示
| 机器名称 | 内网IP | 外网IP |
|---|---|---|
| 攻击机(kali) | 192.168.20.143 | |
| win7 | 192.168.138.136 | 192.168.20.146 |
| Windows2008(DC) | 192.168.138.138 |
我们的各机器账号密码如下所示
win7
sun\heart 123.com
sun\Administrator dc123.com
windows2008
sun\admin 2020.com
记得进入win7打开phpstudy开启web服务
外网环境探测
首先我们使用nmap和fscan进行全网段扫描,如下所示
我们发现这里的web服务是thinkphp5.x版本,且fscan帮我们检测出来了存在rce漏洞,我们直接利用thinkphp利用工具进行rce,如下所示
我们选择好漏洞版本,然后点击getshell即可,如下所示
我们发现我们这里自动帮我们上传了一个php脚本,我们直接用蚁剑进行连接即可
上线cs
我们在cs创建一个监听器,如下所示
我们这里命名为exe监听,并将监听端口设置为9001,点击保存即可
之后我们生成一个恶意exe文件,如下所示
生成后将这个文件通过蚁剑上传到我们的靶机,命令行运行后我们可以在我们CS上收到会话
拿到会话第一步,进行权限提升,我们这里直接使用cs自带的权限提升工具
我们将权限升至system权限后,首先第一步把防火墙关闭,方便我们后续进行操作
内网信息收集
成功上线后进行信息收集,我们首先将域控IP找出来,我们执行net view即可,如下所示
我们这里发现了域控主机IP为192.168.138.138,且开放了445端口,那我们就可以使用哈希传递利用已知的密码打域控主机,我们首先使用mimikatz获取明文密码,如下所示
获取了各种凭据之后我们就可以进行哈希传递攻击了
哈希传递攻击
我们创建SMB监听器,如下所示
选择哈希传递即可
点击运行后即可获得DC域控的权限,如下所示
创建黄金票据
在DC上运行mimikatz抓取哈希值和明文密码,然后通过SID、域名和krbtgt哈希创建属于我们自己的黄金票据即可,如下所示
至此整个靶场全部攻克,接下来进行痕迹清理即可