历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    小迪安全2024内网靶场-VPC1 & VPC2 & VPC3
    l12 渗透测试 650浏览 · 2025-03-21 04:56

    VPC1
    入口机器192.168.133.185,尝试php8.2.12漏洞
    利用CVE-2024-4577RCE
    Plain Text
    复制代码
    RCE写入php木马
    尝试访问test.php,没读到上传的马,找一下上传目录
    找到test.php,上传目录在C:\\xampp\\php目录下
    xampp默认web目录一般在htdocs下
    上传test.php到htdocs并连接,再上传后门并连接
    对被控主机网络探测,发现其他主机
    192.168.2.4探测MS17-010(永恒之蓝)存在
    用msf对MS17-010进行利用
    新建foreign监听器,将权限分发给msf
    msf指令
    新建会话,选择msf监听器
    此时cs上线的权限已经分发到msf
    添加路由,让msf能访问目标主机访问目标内网其他主机
    接下来使用msf中ms17_010模块
    成功上线192.168.2.4
    在cs上生成一个后门,用kali上传到192.168.2.4并运行,cs上线
    upload \home\kali\Desktop\test2.exe C:\test2.exe


    mimikatz抓取192.168.2.4明文密码失败
    进程注入,选择一个administrator权限的进程进行注入,降权至administrator抓取明文密码
    利用明文密码横向移动,192.168.2.4有防火墙,所以正向上线192.168.2.6
    成功上线192.168.2.6
    192.168.4.*扫描到7001端口,通常有weblogic服务
    配置代理访问192.168.4.128
    检查weblogic漏洞存在
    上传内存马&cs后门上线192.168.4.128
    mimikatz抓取192.168.10.128密码,对192.168.10.12进行横向
    成功上线192.168.10.12
    域控提权CVE-2020-1472连接dc清空凭证


    sectetsdump.py拿到域控hash


    psexec横向移动
    成功上线dc,至此靶场结束
    VPC2
    nmap扫描入口机器192.168.133.189


    访问8080端口发现tomcat服务,弱口令登录后台,部署war包getshell


    上线cs信息收集


    net user /domain&ping dc确认域控ip


    扫描数据库常见端口,尝试连接数据库进行数据库提权


    C:\WebCode\dangan\Web.config文件中找到数据库密码


    配置代理,用mudt连接mssql,开xp_cmdshell成功命令执行


    上传后门&上线cs


    mimikatz抓取密码,尝试横向


    借助impacket套件通过ipc$横向移动


    将后门放在192.168.2.10web目录下,用certutil远程下载后门,失败了
    登录靶机可以看到火绒拦截了certutil.exe


    分离免杀后门成功上线,且火绒查杀不报毒


    利用域控用户上线192.168.2.12


    接下来继续探测域控内网,发现192.168.3.*网段


    扫描到web服务


    web页面是通达OA,直接工具一把梭


    蚁剑成功连接


    192.168.3.10有防火墙,所以正向上线


    确定域控ip


    域控提权CVE-2020-1472拿到hash


    hash传递上线192.168.3.20


    探测192.168.4.*内网


    crackmapexec密码喷洒192.168.4.*


    hash传递上线192.168.4.11


    上传Adfind,探测发现存在约束委派(机器用户)


    主机用户


    约束委派攻击上传后门至192.168.4.20并执行


    最后hash传递192.168.4.12,靶场完成


    VPC3
    fscan扫描入口机192.168.133.198存在redis未授权


    写入公钥getshell


    msf生成一个后门,并在生成路径启动一个http服务,用被控目标主动下载后门


    运行后门,上线至msf


    msf获取目标全部路由


    cat ~/.bash_history发现被控机器有ssh连接行为


    被控目标切换到/root/.ssh目录下,成功连接192.168.52.20


    生成后门上传至192.168.52.10
    192.168.52.10上启动http服务,让192.168.52.20下载后门


    成功上线192.168.52.20


    配置socks5代理


    扫描192.168.4.*
    ./fscan -h 192.168.4.0/24 -p 1-65535 -np -nobr


    访问web页面


    用stowaway工具建立多层代理
    dirsearch扫描发现疑似源码泄露


    拿到数据库密码,尝试数据库提权


    mdut连接


    目标有防火墙,采用反向后门上线至msf


    确定域控ip,setspn -T ROOTKIT.org -q */*命令发现存在exchange服务


    mimikatz抓取明文密码


    stowaway再加一层代理,以通讯192.168.3.*


    扫描192.168.3.*共发现3台机器


    CVE-2020-06883.144进行exchange攻击
    cve-2020-0688执行成功,用ysoserial.exe生成payload填入即可执行命令


    上传后门至192.168.4.140,让目标远程下载,成功上线


    上传mimikatz抓取到域控明文密码,可用域控明文密码横向移动


    wmic可以直接横向


    windows defender对横向移动手法拦截少,可以横向成功


    msf生成ps1后门


    将后门上传至web服务目录,让目标机器下载,ps1不能直接下载,存为exe


    远程下载免杀后门


    成功上线,靶场完成




    1 人收藏 1 人喜欢 转载 分享
    1 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持