内网渗透实战——红日ATT&CK系列靶场(一)学习笔记

目录

前言

环境配置

1.下载并安装好所有需要用到的虚拟机

2.配置网卡

3.测试连通性

4.在win7上开启web服务

信息收集

1.使用nmap扫描

2. 使用kali Linux访问目标80端口

3.使用dirsearch扫描

4.使用御剑扫描

漏洞利用

1.弱口令

2.getshell

3. yxcms漏洞

4.MSF监听

5.使用CS

6.使用CS进行主机密码系统信息收集

7.MSF下会话传给CS

8.MSF与CS联动

9.使用socks功能通过CS将MSF带入内网

内网信息收集

1.其他基本信息收集

2.查看路由信息

3.通过MSF收集目标机安装的软件信息

4.socks反向代理

5.利用MSF的ARP模块扫描52网段

6.使用meterpreter关闭目标机上的防火墙

7. 使用nmap的vuln漏洞扫描脚本进行扫描

8. 使用msf辅助模块进行扫描,查看是否存在ms17-010漏洞

9. CS上利用目标机上的nmap对内网其他主机进行扫描

内网攻击

1.利用ms17_010

2.利用ms08_068

3.SMB远程桌面口令猜测

横向移动

1.利用后门

2.在CS上使用psexec模块进行横向移动

总结


前言

这篇文章用于记录自己对红日ATT&CK系列靶场(一)的一些实战操作,锻炼自己内网渗透能力,尽可能完善渗透操作,学习内网渗透思路,练习各种攻击姿势。

环境配置

1.下载并安装好所有需要用到的虚拟机

包括红日靶场Win2K3、Win7、Win2008,外网攻击机kali、win10,以及本地主机;

2.配置网卡

编辑虚拟网络编辑器,设置VMnet1子网IP为192.168.52.0网段

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第1张图片

Win7:另添加一块网络适配器并设置为自定义仅主机模式(VMnet1)

外网:192.168.92.100;

内网:192.168.52.143;

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第2张图片

Win2K3:网络适配器并设置为自定义仅主机模式(VMnet1)

IP:192.168.52.141

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第3张图片

Win2008:网络适配器并设置为自定义仅主机模式(VMnet1)

IP:192.168.52.138

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第4张图片

3.测试连通性

Win7:

Ping外网:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第5张图片

Ping内网两台计算机:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第6张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第7张图片

Win2008与Win2K3互ping:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第8张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第9张图片

4.在win7上开启web服务

在win7的C盘找到phpstudy启动web服务

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第10张图片

Win10物理机可正常访问win7服务器站点:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第11张图片

信息收集

1.使用nmap扫描

可以发现目标机开启了80(存在http网站)与3360端口(可能存在弱口令)

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第12张图片

2. 使用kali Linux访问目标80端口

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第13张图片

3.使用dirsearch扫描

发现网站目录:http://192.168.92.100/phpMyAdmin

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第14张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第15张图片

4.使用御剑扫描

得到相同结果

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第16张图片

漏洞利用

1.弱口令

登录[http://192.168.92.100/phpMyAdmin](http://192.168.92.100/phpMyAdmin),测试发现弱口令root/root,直接进入后台

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第17张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第18张图片

2.getshell

通过select @@basedir查找绝对路径:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第19张图片

尝试用into outfile导马

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第20张图片

可是失败了

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第21张图片

换MySQL日志导马,先开启全局日志:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第22张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第23张图片

之后通过set GLOBAL general_log_file=’C:/phpStudy/WWW/620.php’,指定日志写入到网站根目录:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第24张图片

写入木马:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第25张图片

根据路径,查看日志:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第26张图片

尝试使用中国菜刀工具进行连接:成功

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第27张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第28张图片

3. yxcms漏洞

用菜刀连接后,发现目录里还存在另外一个网站yxcms,尝试登录:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第29张图片

通过观察发现网站公告竟然有后台地址与账号密码:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第30张图片

访问,并用提示的账号密码登录,成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第31张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第32张图片

进入前台模板中,写入一句话木马:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第33张图片

使后台增加了一个shell620.php文件:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第34张图片

查找路径,并访问:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第35张图片

再次使用中国菜刀进行连接:

成功

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第36张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第37张图片

测试XSS漏洞,首先在留言板处一句话木马:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第38张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第39张图片

登录到后台审核,发现弹窗:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第40张图片

Xss验证成功。

4.MSF监听

利用msf创建一个后门程序:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第41张图片

开启http服务:

msf工具开启监听,设置sessions:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第42张图片

通过之前的shell,用中国菜刀上传620x.exe:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第43张图片

运行程序:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第44张图片

验证,kali上观察到成功,并可以getsystem提权:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第45张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第46张图片

5.使用CS

ps:java环境

首先在kali服务端启动CS:kali的IP+密码123456

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第47张图片

在另一条win10虚拟机上运行CS客户端并连接服务端:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第48张图片

新建监听:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第49张图片

在CS上生成exe后门:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第50张图片

选择刚刚建立的监听:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第51张图片

将生成的artifact620.exe程序通过菜刀上传:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第52张图片

运行:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第53张图片

可以在CS上发现成功上线:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第54张图片

开启命令界面,并sleep 1设置交互时间(因为是实验环境):

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第55张图片

6.使用CS进行主机密码系统信息收集

Shell ipconfig查看目标机IP信息:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第56张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第57张图片

Whoami查看用户:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第58张图片

查看域信息:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第59张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第60张图片

使用CS的mimikatz功能抓取目标机用户密码:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第61张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第62张图片

通过CS的elevate进行账户提权:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第63张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第64张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第65张图片

7.MSF下会话传给CS

在kali上使用exploit/windows/local/payload_inject模块,设置sessions:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第66张图片

在win10的CS上观察,发现成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第67张图片

8.MSF与CS联动

在CS上建立新的foreign监听:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第68张图片

在kali上配置sessions:注意端口一致,运行等待:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第69张图片

之后在CS上新建会话,选用新建的foreign监听:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第70张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第71张图片

最后观察到联动成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第72张图片

9.使用socks功能通过CS将MSF带入内网

首先在CS上建立SOCKS:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第73张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第74张图片

观察proxy pivots模块:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第75张图片

在kali上运行msf,让msf所有模块流量都从CS的socks代理走:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第76张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第77张图片

同时也观察到了内网机器开放了445端口,可能存在ms17_010漏洞。

内网信息收集

1.其他基本信息收集

在CS上建立连接,systeminfo命令观察系统信息,同时发现目标机安装了4个补丁

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第78张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第79张图片

Net view:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第80张图片

2.查看路由信息

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第81张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第82张图片

3.通过MSF收集目标机安装的软件信息

run post/windows/gather/enum_applications

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第83张图片

4.socks反向代理

首先新建路由:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第84张图片

查看路由信息:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第85张图片

挂起会话,建立socks:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第86张图片

运行后挂起了一个job:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第87张图片

修改proxychain文件:vim /etc/proxychains4.conf

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第88张图片

5.利用MSF的ARP模块扫描52网段

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第89张图片

通过CS进行arp扫描:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第90张图片

6.使用meterpreter关闭目标机上的防火墙

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第91张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第92张图片

查看:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第93张图片

7. 使用nmap的vuln漏洞扫描脚本进行扫描

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第94张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第95张图片

8. 使用msf辅助模块进行扫描,查看是否存在ms17-010漏洞

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第96张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第97张图片

9. CS上利用目标机上的nmap对内网其他主机进行扫描

在菜刀上找到win7中的nmap软件:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第98张图片

利用扫描win2K3,IP:192.168.52.141:

发现可能有ms17_010\ms08_067漏洞

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第99张图片

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第100张图片

扫描端口:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第101张图片

扫描win2008,IP:192.168.52.138:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第102张图片

内网攻击

1.利用ms17_010

已经通过nmap扫描到内网主机192.168.52.141可能存在ms17_010漏洞,尝试利用:

通过msf与CS联动:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第103张图片

尝试添加用户:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第104张图片

再次set COMMAND net user并exploit执行,发现成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第105张图片

然后把添加的用户加入管理员组:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第106张图片

成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第107张图片

利用23端口telnet服务上传漏洞,首先通过ms17_010开启23端口与telnet服务:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第108张图片

之后set COMMAND net start telnet:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第109张图片

查看是否成功开启23端口:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第110张图片

进行telnet连接:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第111张图片

成功建立会话:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第112张图片

尝试利用telnet,但是失败了:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第113张图片

利用ms17_010测试一下2008:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第114张图片

成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第115张图片

2.利用ms08_068

通过socks将msf带入内网后利用ms08_068:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第116张图片

但是失败了:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第117张图片

3.SMB远程桌面口令猜测

使用msf的smb_login模块:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第118张图片

建立sessions,并尝试利用收集到的用户名以及密码,成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第119张图片

横向移动

1.利用后门

通过msf与CS联动,在win7靶机上连接域控C盘:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第120张图片

将之前的后门程序传到域控服务器:

运行,schtasks /create /tn "godunt" /tr C:\620x.exe /sc once /st 12:45 /S 192.168.52.138 /RU System /u administrator /p "Qwer1234”

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第121张图片

但最终失败,无法连接。

2.在CS上使用psexec模块进行横向移动

新建一个smb监听:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第122张图片

选择域控服务器并利用psexec模块:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第123张图片

配置信息:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第124张图片

运行,并观察:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第125张图片

成功:

内网渗透实战——红日ATT&CK系列靶场(一)学习笔记_第126张图片

总结

本次实战通过攻打红日靶场第一关,学习了内网信息收集、漏洞利用、横向移动等知识。

实战中对靶场进行各种攻击操作,其中MS08_067漏洞利用失败,另外也未完成RPC DCOM 服务漏洞,且关于内网信息收集部分没有做到详尽,横向移动部分也只尝试了两种方法。

在攻击靶场中,也参考了网络上的攻略,学习攻击的经验以及方法,知道一些测试的思路,以及学习到了如何对获取到的信息进行整理利用。同时,在实验中学习了dirsearch、御剑、中国菜刀、msf、CS等工具软件的使用方法,在不断是运用中熟悉了相关工具的操作方法,且实现了msf与CS联动进行内网渗透及攻击。

在内网攻击部分,学习了ms17_010、ms08_068、smb_login等漏洞的原理和方法,进一步学习后门程序的利用方法。

你可能感兴趣的:(教程,靶场实战,网络安全,web安全,安全)