hello����,你們的魔鬼小Kevin又來(lái)了。
一個(gè)可愛(ài)帥氣機(jī)智的不正經(jīng)號(hào)主
準(zhǔn)時(shí)準(zhǔn)點(diǎn)出現(xiàn)在每個(gè)你期待的夜晚����!
0x00 前言
下面將記錄此次打靶的所有細(xì)節(jié)和所遇到的問(wèn)題�����。大佬笑笑經(jīng)過(guò)就好,小白的話就認(rèn)真學(xué)習(xí)����,相信此次打靶還是有一定技術(shù)性的提升����。
整個(gè)網(wǎng)絡(luò)拓?fù)鋱D如下:
0x01 安裝
前面的細(xì)節(jié)無(wú)非就是三個(gè)壓縮包��,分別為WEB��、DC、PC��。解壓完畢��,打開(kāi)落滿塵灰的虛擬機(jī)����,興致勃勃的將解壓好的文件放入虛擬機(jī)��,然后準(zhǔn)備打開(kāi)����,結(jié)果開(kāi)始報(bào)錯(cuò)(然后這也是此次打靶遇到的問(wèn)題之一)�����,看圖:
于是傻乎乎的我就開(kāi)始詢問(wèn)各位大佬,然后大佬告訴我是我電腦系統(tǒng)問(wèn)題�����,說(shuō)我的系統(tǒng)不支持虛擬機(jī)�����。我笑了��,連忙問(wèn)號(hào)三連表示友好(???)。
我連忙拿起旁邊的紅酒杯,那里面可是裝了沉浸80多年的白開(kāi)老白干����,一口下去�����,靈光一現(xiàn)����,腦殼中一位美麗的女子一絲不掛的出現(xiàn)在我的腦海��,我口水直流三尺��,甚至還硬了,突然……我����。對(duì)不起�����,跑題了�����,然后我將虛擬機(jī)配置文件里面的版本號(hào)修改為我現(xiàn)在虛擬機(jī)的版本號(hào)��,然后再次打開(kāi),問(wèn)題就解決了。
當(dāng)三個(gè)靶機(jī)(web��、dc��、pc)全部安裝完成后�����,于是開(kāi)始配置ip,這里面似乎并沒(méi)有遇到多大的問(wèn)題�����,對(duì)不起�����,突然下面一硬��,問(wèn)題來(lái)了,我發(fā)現(xiàn)他們之間����,內(nèi)網(wǎng)地址互ping不通����,我開(kāi)始焦慮��,我開(kāi)始脫發(fā)��,不��,我是安全人員�����,我不能這樣,我要解決它��!當(dāng)我重啟了一下��,結(jié)果就能ping通了����,很神奇對(duì)不對(duì)����,我也這么覺(jué)得。
頓時(shí)就很開(kāi)心,然后問(wèn)題又來(lái)了�����,我發(fā)現(xiàn)外網(wǎng),也就是我本機(jī),作為攻擊機(jī)器,并不能與web端機(jī)器ping通����,腦袋一熱��,直接把web端選擇為NAT模式自動(dòng)獲取ip(因?yàn)閃EB端其中一塊網(wǎng)卡是可以訪問(wèn)外網(wǎng)的),繼續(xù)ping,發(fā)現(xiàn)ping還是不同����,就去查看(防火墻)����,發(fā)現(xiàn)是策略問(wèn)題����,就直接將防火墻關(guān)閉(并沒(méi)有關(guān)閉域之間的防火墻)��,發(fā)現(xiàn)可以ping通����,開(kāi)始打靶�����。
0x02 WEB滲透
興致勃勃的拿到靶機(jī)ip(web)����,192.168.229.128��,操起寶刀�����,移步進(jìn)入kali(攻擊機(jī)器),開(kāi)始進(jìn)行一波初始的信息收集����,使用nmap掃描一下目標(biāo)ip端口信息��,詳情如下:
看靶場(chǎng)的說(shuō)明,我們首先要打開(kāi)(使用管理員權(quán)限)����。
然后看到幾個(gè)比較感興趣的端口80(http)�����、1433(mssql)����、3389(rdp)、7001()��。
于是一一去探測(cè)��,第一想法就是在80入口�����,第二是7001端口,后面的通過(guò)1433弱口令傳馬和3389選擇去rdp爆破����。
1����、80訪問(wèn)失敗����。
2、7001()顯示404�����。
3、1433和3389弱口令均爆破失敗����。
回頭繼續(xù)看2��、7001(),雖然是404����,但是肯定存在站點(diǎn),只是文件不存在��,腦海中一熱�����,就想做個(gè)工具人����,去爆破一波目錄和文件�����,突然一硬�����,阻止了我這種工具人的想法,就去手工探測(cè),發(fā)現(xiàn)沒(méi)有什么效果,于是去問(wèn)百度,發(fā)現(xiàn)默認(rèn)地址不對(duì)����,于是按照百度說(shuō)的��,目標(biāo)站點(diǎn)出現(xiàn)了。站點(diǎn)路徑:
1http://192.168.229.128:7001/console/login/LoginForm.jsp
1、先開(kāi)始嘗試的弱口令,手動(dòng) | ��,進(jìn)不去����,開(kāi)始burp抓包進(jìn)行爆破,白搭,爆破不進(jìn)去��,當(dāng)然進(jìn)去我也忘記怎么拿shell�����,畢竟好久沒(méi)見(jiàn)了
2、開(kāi)始網(wǎng)上搜索關(guān)于的各種漏洞,然后就找到了POC工具����,檢測(cè)漏洞工具����,地址附上:
通過(guò)POC測(cè)試��,存在CVE-2019-2725�����,直接根據(jù)漏洞上工具(合理的做好一名腳本小子)
成功,密碼:pass�����,使用冰蝎連接�����,shell地址:
:7001//_async/adminxe.jsp
Shell成功拿下����,繼續(xù)進(jìn)行后滲透
0x03 內(nèi)網(wǎng)信息收集
通過(guò)arp –a��,進(jìn)行初步的內(nèi)網(wǎng)探測(cè)
存在內(nèi)網(wǎng)環(huán)境:
10.10.10.10
10.10.10.80
10.10.10.201
進(jìn)一步探測(cè)信息��,查看是否存在域內(nèi)環(huán)境,通過(guò)命令:net time /domain 查看域內(nèi)解析服務(wù)器的時(shí)間�����,確定域控����,結(jié)果返回系統(tǒng)錯(cuò)誤(很明顯權(quán)限不夠)
Whoami,查看shell權(quán)限�����,發(fā)現(xiàn)為權(quán)限����,并非最高權(quán)限
通過(guò)盡可能多的收集機(jī)器信息
經(jīng)過(guò)查看存在域,,并且得到補(bǔ)丁程序編號(hào)�����,補(bǔ)丁只打了3個(gè)����,可通過(guò)補(bǔ)丁信息對(duì)比繼續(xù)提權(quán)
當(dāng)我們得知這是域環(huán)境,那么我們的目標(biāo)肯定是獲得DC中域管的權(quán)限����,最終拿下整個(gè)域�����。(這里呢,我跳過(guò)了一系列的提權(quán)工具����,經(jīng)過(guò)嘗試也是可以的)�����,為了后滲透的完整性�����,我選擇CS(Cobalt Strike)進(jìn)行圖形化界面的滲透����。
CS生成木馬—>上傳到shell—>執(zhí)行木馬—>上線����,進(jìn)行下一步的滲透。
開(kāi)始進(jìn)行提權(quán),方便下一步的操作
利用ms14-058,成功獲取權(quán)限
方便于維權(quán)和防止shell掉線����,我們使用注入進(jìn)程功能����,會(huì)生成一個(gè)新的會(huì)話
我們是用功能����,繼續(xù)探測(cè)域內(nèi)主機(jī)存活情況
繼續(xù)進(jìn)行域內(nèi)的信息收集,開(kāi)始定位域控(這里假裝我們看不到名字DC����,嘻嘻)�����,然后使用命令:net group “domain ” /domain
可以確定DC為:10.10.10.10
定位域管理員:net group “domain admins” /domain
確定域管為:de1ay/
通過(guò)前面的信息收集已經(jīng)有了一個(gè)大概的范圍,然后剛才我發(fā)現(xiàn)��,通過(guò)ping的時(shí)候80可以和10(DC)通�����,80(WEB)不可以和201(PC)通��,10可以和80和201都通,那么我們確定,想到獲取到PC的權(quán)限����,需要先get到DC的權(quán)限(通過(guò)10做DL�����,鏈接201)
0x04 橫向移動(dòng)
1、這里呢,我們已經(jīng)拿到了域管的賬號(hào)和明文密碼:
賬號(hào):DE1AY\
密碼:1qaz@WSX
直接利用流量DL,將80(WEB)dl到本地,然后去登陸10.10.10.10(DC)
通過(guò)dsa.msc
可以查看域內(nèi)的機(jī)器和域內(nèi)賬戶�����,相當(dāng)于拿到了整個(gè)域的控制權(quán)
2��、這里呢�����,方便保存域內(nèi)賬戶信息,我們使用csvde進(jìn)行保存域內(nèi)賬戶信息�����,便于對(duì)其他機(jī)器的滲透
3��、然后我們下一步��,還是像剛才說(shuō)的,拿到DC并不算完結(jié),我們的目標(biāo)在于進(jìn)入PC��,所以這里�����,我們并不能直接通過(guò)80(web)DL到201(PC)上面去(因?yàn)?0和201不通),這里����,我選擇socks多層跳板來(lái)進(jìn)行獲取PC的權(quán)限����,于是到這里還是說(shuō)一下msf的socks DL����。這里msf上線過(guò)程就不細(xì)說(shuō),基本和cs一樣�����,生成木馬�����,上傳到shell端運(yùn)行�����,得到shell
4、首先我們要添加路由:
1run?autoroute??-s?10.10.10.0/24??#添加到路由
2
3run?autoroute?–p?#查看路由
成功添加路由后����,即可使用/server/socks4a進(jìn)行DL操作����,然后我們要通過(guò)DC(10.10.10.10)做跳板進(jìn)行DL�����,所以我們要先獲取DC的shell
暫時(shí)寫到這里,思路很清晰了�����。只是說(shuō)這個(gè)網(wǎng)絡(luò)環(huán)境不是很穩(wěn)定��,真的很難受����。
版權(quán)聲明:本文為CSDN博主「Adminxe」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議��,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明��。
原文鏈接:
SecretFolder(文件夾加密隱藏工具)
是一款用于文件夾加密和隱藏的軟件����,它可以幫助用戶保護(hù)重要的文件和文件夾��,防止未經(jīng)授權(quán)的訪問(wèn)和修改�����。該軟件提供了一種簡(jiǎn)便的方法來(lái)加密文件夾,用戶只需選擇要加密的文件夾�����,然后設(shè)置一個(gè)密碼�����,就會(huì)對(duì)其進(jìn)行加密。此外,還可以隱藏文件夾��,將其從計(jì)算機(jī)的文件瀏覽器中隱藏起來(lái)����,只有知道密碼的人才能訪問(wèn)。這種加密和隱藏功能可以保護(hù)用戶的隱私和機(jī)密文件,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。還具有快速����、簡(jiǎn)單易用的特點(diǎn)��,用戶可以輕松地使用該軟件來(lái)保護(hù)自己的文件和文件夾。
軟件特點(diǎn)1����、支持NTFS��,F(xiàn)AT32,exFAT和FAT����。
2�����、可以同時(shí)保護(hù)無(wú)限數(shù)量的文件夾
3、受保護(hù)的數(shù)據(jù)的大小沒(méi)有任何限制。
4��、修改任何文件系統(tǒng)結(jié)構(gòu)會(huì)發(fā)生��。
5�����、當(dāng)你創(chuàng)建一個(gè)秘密的文件夾,使用自己的密碼,您可以管理文件夾��。
6����、CMD命令將無(wú)法訪問(wèn)這些文件夾����。
軟件功能1、文件夾加密
提供了一種簡(jiǎn)便的方法來(lái)加密文件夾,用戶只需選擇要加密的文件夾,然后設(shè)置一個(gè)密碼,就會(huì)對(duì)其進(jìn)行加密,確保文件夾中的敏感數(shù)據(jù)得到安全保護(hù)。
2、隱藏文件夾
還可以隱藏文件夾����,將其從計(jì)算機(jī)的文件瀏覽器中隱藏起來(lái)�����,只有知道密碼的人才能訪問(wèn)。這種隱藏功能可以保護(hù)用戶的隱私和機(jī)密文件����,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)��。
3��、密碼保護(hù)
提供了一種強(qiáng)密碼保護(hù)功能,用戶可以設(shè)置一個(gè)復(fù)雜的密碼來(lái)保護(hù)文件夾。這種密碼保護(hù)功能可以確保只有知道密碼的人才能訪問(wèn)和修改文件夾中的數(shù)據(jù)。
4、快速加密和隱藏
采用先進(jìn)的加密算法,可以快速地對(duì)文件夾進(jìn)行加密和隱藏,確保用戶可以在短時(shí)間內(nèi)完成數(shù)據(jù)的保護(hù)工作��。
