hello,你們的魔鬼小Kevin又來(lái)了。
一個(gè)可愛(ài)帥氣機(jī)智的不正經(jīng)號(hào)主
準(zhǔn)時(shí)準(zhǔn)點(diǎn)出現(xiàn)在每個(gè)你期待的夜晚!
0x00 前言
下面將記錄此次打靶的所有細(xì)節(jié)和所遇到的問(wèn)題。大佬笑笑經(jīng)過(guò)就好,小白的話就認(rèn)真學(xué)習(xí),相信此次打靶還是有一定技術(shù)性的提升。
整個(gè)網(wǎng)絡(luò)拓?fù)鋱D如下:
0x01 安裝
前面的細(xì)節(jié)無(wú)非就是三個(gè)壓縮包,分別為WEB、DC、PC。解壓完畢,打開(kāi)落滿塵灰的虛擬機(jī),興致勃勃的將解壓好的文件放入虛擬機(jī),然后準(zhǔn)備打開(kāi),結(jié)果開(kāi)始報(bào)錯(cuò)(然后這也是此次打靶遇到的問(wèn)題之一),看圖:
于是傻乎乎的我就開(kāi)始詢問(wèn)各位大佬,然后大佬告訴我是我電腦系統(tǒng)問(wèn)題,說(shuō)我的系統(tǒng)不支持虛擬機(jī)。我笑了,連忙問(wèn)號(hào)三連表示友好(???)。
我連忙拿起旁邊的紅酒杯,那里面可是裝了沉浸80多年的白開(kāi)老白干,一口下去,靈光一現(xiàn),腦殼中一位美麗的女子一絲不掛的出現(xiàn)在我的腦海,我口水直流三尺,甚至還硬了,突然……我。對(duì)不起,跑題了,然后我將虛擬機(jī)配置文件里面的版本號(hào)修改為我現(xiàn)在虛擬機(jī)的版本號(hào),然后再次打開(kāi),問(wèn)題就解決了。
當(dāng)三個(gè)靶機(jī)(web、dc、pc)全部安裝完成后,于是開(kāi)始配置ip,這里面似乎并沒(méi)有遇到多大的問(wèn)題,對(duì)不起,突然下面一硬,問(wèn)題來(lái)了,我發(fā)現(xiàn)他們之間,內(nèi)網(wǎng)地址互ping不通,我開(kāi)始焦慮,我開(kāi)始脫發(fā),不,我是安全人員,我不能這樣,我要解決它!當(dāng)我重啟了一下,結(jié)果就能ping通了,很神奇對(duì)不對(duì),我也這么覺(jué)得。
頓時(shí)就很開(kāi)心,然后問(wèn)題又來(lái)了,我發(fā)現(xiàn)外網(wǎng),也就是我本機(jī),作為攻擊機(jī)器,并不能與web端機(jī)器ping通,腦袋一熱,直接把web端選擇為NAT模式自動(dòng)獲取ip(因?yàn)閃EB端其中一塊網(wǎng)卡是可以訪問(wèn)外網(wǎng)的),繼續(xù)ping,發(fā)現(xiàn)ping還是不同,就去查看(防火墻),發(fā)現(xiàn)是策略問(wèn)題,就直接將防火墻關(guān)閉(并沒(méi)有關(guān)閉域之間的防火墻),發(fā)現(xiàn)可以ping通,開(kāi)始打靶。
0x02 WEB滲透
興致勃勃的拿到靶機(jī)ip(web),192.168.229.128,操起寶刀,移步進(jìn)入kali(攻擊機(jī)器),開(kāi)始進(jìn)行一波初始的信息收集,使用nmap掃描一下目標(biāo)ip端口信息,詳情如下:
看靶場(chǎng)的說(shuō)明,我們首先要打開(kāi)(使用管理員權(quán)限)。
然后看到幾個(gè)比較感興趣的端口80(http)、1433(mssql)、3389(rdp)、7001()。
于是一一去探測(cè),第一想法就是在80入口,第二是7001端口,后面的通過(guò)1433弱口令傳馬和3389選擇去rdp爆破。
1、80訪問(wèn)失敗。
2、7001()顯示404。
3、1433和3389弱口令均爆破失敗。
回頭繼續(xù)看2、7001(),雖然是404,但是肯定存在站點(diǎn),只是文件不存在,腦海中一熱,就想做個(gè)工具人,去爆破一波目錄和文件,突然一硬,阻止了我這種工具人的想法,就去手工探測(cè),發(fā)現(xiàn)沒(méi)有什么效果,于是去問(wèn)百度,發(fā)現(xiàn)默認(rèn)地址不對(duì),于是按照百度說(shuō)的,目標(biāo)站點(diǎn)出現(xiàn)了。站點(diǎn)路徑:
1http://192.168.229.128:7001/console/login/LoginForm.jsp
1、先開(kāi)始嘗試的弱口令,手動(dòng) | ,進(jìn)不去,開(kāi)始burp抓包進(jìn)行爆破,白搭,爆破不進(jìn)去,當(dāng)然進(jìn)去我也忘記怎么拿shell,畢竟好久沒(méi)見(jiàn)了
2、開(kāi)始網(wǎng)上搜索關(guān)于的各種漏洞,然后就找到了POC工具,檢測(cè)漏洞工具,地址附上:
通過(guò)POC測(cè)試,存在CVE-2019-2725,直接根據(jù)漏洞上工具(合理的做好一名腳本小子)
成功,密碼:pass,使用冰蝎連接,shell地址:
:7001//_async/adminxe.jsp
Shell成功拿下,繼續(xù)進(jìn)行后滲透
0x03 內(nèi)網(wǎng)信息收集
通過(guò)arp –a,進(jìn)行初步的內(nèi)網(wǎng)探測(cè)
存在內(nèi)網(wǎng)環(huán)境:
10.10.10.10
10.10.10.80
10.10.10.201
進(jìn)一步探測(cè)信息,查看是否存在域內(nèi)環(huán)境,通過(guò)命令:net time /domain 查看域內(nèi)解析服務(wù)器的時(shí)間,確定域控,結(jié)果返回系統(tǒng)錯(cuò)誤(很明顯權(quán)限不夠)
Whoami,查看shell權(quán)限,發(fā)現(xiàn)為權(quán)限,并非最高權(quán)限
通過(guò)盡可能多的收集機(jī)器信息
經(jīng)過(guò)查看存在域,,并且得到補(bǔ)丁程序編號(hào),補(bǔ)丁只打了3個(gè),可通過(guò)補(bǔ)丁信息對(duì)比繼續(xù)提權(quán)
當(dāng)我們得知這是域環(huán)境,那么我們的目標(biāo)肯定是獲得DC中域管的權(quán)限,最終拿下整個(gè)域。(這里呢,我跳過(guò)了一系列的提權(quán)工具,經(jīng)過(guò)嘗試也是可以的),為了后滲透的完整性,我選擇CS(Cobalt Strike)進(jìn)行圖形化界面的滲透。
CS生成木馬—>上傳到shell—>執(zhí)行木馬—>上線,進(jìn)行下一步的滲透。
開(kāi)始進(jìn)行提權(quán),方便下一步的操作
利用ms14-058,成功獲取權(quán)限
方便于維權(quán)和防止shell掉線,我們使用注入進(jìn)程功能,會(huì)生成一個(gè)新的會(huì)話
我們是用功能,繼續(xù)探測(cè)域內(nèi)主機(jī)存活情況
繼續(xù)進(jìn)行域內(nèi)的信息收集,開(kāi)始定位域控(這里假裝我們看不到名字DC,嘻嘻),然后使用命令:net group “domain ” /domain
可以確定DC為:10.10.10.10
定位域管理員:net group “domain admins” /domain
確定域管為:de1ay/
通過(guò)前面的信息收集已經(jīng)有了一個(gè)大概的范圍,然后剛才我發(fā)現(xiàn),通過(guò)ping的時(shí)候80可以和10(DC)通,80(WEB)不可以和201(PC)通,10可以和80和201都通,那么我們確定,想到獲取到PC的權(quán)限,需要先get到DC的權(quán)限(通過(guò)10做DL,鏈接201)
0x04 橫向移動(dòng)
1、這里呢,我們已經(jīng)拿到了域管的賬號(hào)和明文密碼:
賬號(hào):DE1AY\
密碼:1qaz@WSX
直接利用流量DL,將80(WEB)dl到本地,然后去登陸10.10.10.10(DC)
通過(guò)dsa.msc
可以查看域內(nèi)的機(jī)器和域內(nèi)賬戶,相當(dāng)于拿到了整個(gè)域的控制權(quán)
2、這里呢,方便保存域內(nèi)賬戶信息,我們使用csvde進(jìn)行保存域內(nèi)賬戶信息,便于對(duì)其他機(jī)器的滲透
3、然后我們下一步,還是像剛才說(shuō)的,拿到DC并不算完結(jié),我們的目標(biāo)在于進(jìn)入PC,所以這里,我們并不能直接通過(guò)80(web)DL到201(PC)上面去(因?yàn)?0和201不通),這里,我選擇socks多層跳板來(lái)進(jìn)行獲取PC的權(quán)限,于是到這里還是說(shuō)一下msf的socks DL。這里msf上線過(guò)程就不細(xì)說(shuō),基本和cs一樣,生成木馬,上傳到shell端運(yùn)行,得到shell
4、首先我們要添加路由:
1run?autoroute??-s?10.10.10.0/24??#添加到路由
2
3run?autoroute?–p?#查看路由
成功添加路由后,即可使用/server/socks4a進(jìn)行DL操作,然后我們要通過(guò)DC(10.10.10.10)做跳板進(jìn)行DL,所以我們要先獲取DC的shell
暫時(shí)寫到這里,思路很清晰了。只是說(shuō)這個(gè)網(wǎng)絡(luò)環(huán)境不是很穩(wěn)定,真的很難受。
版權(quán)聲明:本文為CSDN博主「Adminxe」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請(qǐng)附上原文出處鏈接及本聲明。
原文鏈接:
SecretFolder(文件夾加密隱藏工具)
是一款用于文件夾加密和隱藏的軟件,它可以幫助用戶保護(hù)重要的文件和文件夾,防止未經(jīng)授權(quán)的訪問(wèn)和修改。該軟件提供了一種簡(jiǎn)便的方法來(lái)加密文件夾,用戶只需選擇要加密的文件夾,然后設(shè)置一個(gè)密碼,就會(huì)對(duì)其進(jìn)行加密。此外,還可以隱藏文件夾,將其從計(jì)算機(jī)的文件瀏覽器中隱藏起來(lái),只有知道密碼的人才能訪問(wèn)。這種加密和隱藏功能可以保護(hù)用戶的隱私和機(jī)密文件,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。還具有快速、簡(jiǎn)單易用的特點(diǎn),用戶可以輕松地使用該軟件來(lái)保護(hù)自己的文件和文件夾。
軟件特點(diǎn)1、支持NTFS,F(xiàn)AT32,exFAT和FAT。
2、可以同時(shí)保護(hù)無(wú)限數(shù)量的文件夾
3、受保護(hù)的數(shù)據(jù)的大小沒(méi)有任何限制。
4、修改任何文件系統(tǒng)結(jié)構(gòu)會(huì)發(fā)生。
5、當(dāng)你創(chuàng)建一個(gè)秘密的文件夾,使用自己的密碼,您可以管理文件夾。
6、CMD命令將無(wú)法訪問(wèn)這些文件夾。
軟件功能1、文件夾加密
提供了一種簡(jiǎn)便的方法來(lái)加密文件夾,用戶只需選擇要加密的文件夾,然后設(shè)置一個(gè)密碼,就會(huì)對(duì)其進(jìn)行加密,確保文件夾中的敏感數(shù)據(jù)得到安全保護(hù)。
2、隱藏文件夾
還可以隱藏文件夾,將其從計(jì)算機(jī)的文件瀏覽器中隱藏起來(lái),只有知道密碼的人才能訪問(wèn)。這種隱藏功能可以保護(hù)用戶的隱私和機(jī)密文件,防止數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問(wèn)。
3、密碼保護(hù)
提供了一種強(qiáng)密碼保護(hù)功能,用戶可以設(shè)置一個(gè)復(fù)雜的密碼來(lái)保護(hù)文件夾。這種密碼保護(hù)功能可以確保只有知道密碼的人才能訪問(wèn)和修改文件夾中的數(shù)據(jù)。
4、快速加密和隱藏
采用先進(jìn)的加密算法,可以快速地對(duì)文件夾進(jìn)行加密和隱藏,確保用戶可以在短時(shí)間內(nèi)完成數(shù)據(jù)的保護(hù)工作。
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。