红日内网靶机5学习

网络配置说明：首先还是需要将自己的网络环境设置完善。域控使用仅主机模式，IP段192.168.138.0/24，且物理机关闭仅主机网卡，保证域控与物理主机无法通信。Win7使用双网卡，一张采用仅主机模式，与域控通信，一张网卡采用NAT模式用于联网与物理机通信。

靶机地址信息：http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

 

 

信息搜集：

还是常规的信息搜集，做一次主机发现与端口扫描。这里端口扫描采用NMAP，主机扫描采用Nessus同时进行。

开放了80和3306两个端口。

尝试对Mysql进行连接，发现禁止连接：

访问80端口，发现存在一个ThinkPHP的站点，使用不存在的控制器报错，确定具体版本：

对于TP5的站点，首先还是利用RCE漏洞打一遍，说不定就成了。然后确实成了了：

https://www.cnblogs.com/backlion/p/10106676.html

payload:index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

尝试写入webshell：

写入成功，执行命令并且连接：

使用蚁剑连接：

 

使用bypassAV制作一个免杀的CS马，然后上传到服务器，成功获取CS：

 

内网信息搜集：

首先进行一下内网的信息搜集，看是否存在域：

查看网卡信息：

存在第二张网卡。

通过systeminfo查看系统相关信息：

补丁只存在3个，可以试试有没有可以利用的提权漏洞。

 

 

 

 

运行了一下mimikatz，成功抓到了heart用户的密码。

同时发现存在域账户的账号密码：

 

为了方便再弹一个msf的shell，发现靶机环境不是特别好，直接可以获取系统system权限。

然后查看系统的网卡信息：

通过get_local_subnets查看到第二张网卡的信息，应该就是内网地址，添加一个路由去往第二层。

可以查看到我们添加的网卡信息：

之后使用msf的漏洞模块探测内网主机是否存在特定漏洞：

首先是ms17_010

发现扫描应该打开了445端口，但是无法进行利用：

之后还是使用cs进行内网渗透：

先推荐一个cs的教材，以及很多有用的cs插件：https://www.cnblogs.com/ichunqiu/p/12106209.html

 

首先使用msf反弹一个system权限的shell到cs：

 

这里是使用cs进行端口扫描，尝试使用psexec进行登录管理系统。

端口扫描结束，可以发现新加了一台目标机器：

如果目标机器出网可以使用psexec尝试登陆，不出网的话需要使用已有的外网机器当作跳板机，使这台外网机器变成一个监听器：

然后重新生成一个shell，选择这个监听器：

之后将psexec和新生成的shell一起上传。

因为win7存在防火墙，可以先关闭防火墙：

之前的heart权限太小，可以利用ms14-058进行提权，elevate插件存在这个提权脚本

获取system权限之后重新关闭防火墙：

接下来就可以使用psexec登录系统然后执行cs的shell：

shell C:\phpStudy\PHPTutorial\WWW\public\PsExec.exe -accepteula \\192.168.138.138 -u SUN\Administrator -p dc123.c0m -d -c C:\phpStudy\PHPTutorial\WWW\public\beacon.exe

获取到DC的shell：时间有点长，需要等待

运行mimikatz尝试获取域控密码：

嗯。。。。。运行的时候beacon全部掉线了。