其实学web渗透的小编,一直都有一个当红队人员的心❤️❤️ 虽然后面会学,但是小编还是购买了一些对应的书籍以及上网找了一些对应的资料
于是今天就来梳理一下我素未谋面的万里恩师的红队公开课,虽然是基础版本,但是对小白构建红队的知识体系还是非常友好的!!!
声明:本blog所涉及到的所有知识,截图,均来自与一下视频
目录
1.最基本的网络拓扑
2.开始攻击(拿下第一台web服务器)
1.Mysql 和Web服务的暴露
2.后台目录扫描
3.弱口令登录
4.Sql注入--->日志getshell
5.蚁剑连接木马
6.(可无)开启3389远程连接
1.开启3389端口
2.关闭防火墙
3.获取用户的密码
3.拿下域控
1.工作组(workgroup)
2.域(domain)
1.信息收集
1.收集本地账号
2.收集域账号
3.收集域内账号数量
4.查看网卡信息
5.查看域中的电脑的数量
6.查看域控信息
7.展示本地计算机已经解析过的IP地址及其对应的物理MAC地址
2.cs先上线web跳板机
1.先设置一个监听器
2.生成一个木马,并上线
3.横向移动之IPC$管道
4. 用SMB beacon 上线不出网机器
1.建立smb beacon监听器
2.生成smb类型的木马
3.通过IPC管道传这个木马给DC
4.通过IPC管道创建服务
5.开启服务
6.最后一步,连接木马!!
3.远程连接域控
端口转发
至此,已成艺术!!!
先是讲一下本次红队攻防实验的网络拓扑:
首先万里老师是用的御剑去扫的这个ip
发现开启了3306和80端口 所以说明了啥??? 嘿嘿!!
还是用的御剑,后台目录扫描,其实现实中也可以用dirsearch这种去扫(不过最好有授权)
能扫出来一个phpmyadmin/db_create.php的一个后台路径
接着就是通过弱口令(两组root)成功进入到了网站的后台
进去之后能找到一个能执行sql语句的地方,于是就可以使用日志getshell
这个具体方法在我之前的blog里面讲过,我就偷懒一下不多赘述了
通过成功输入刚才的连接的木马,就能成功的连接上木马,进入内网了!!!
这一步其实可有可无,但是其中涉及到了一些其他不错的知识,于是我也就来说一下吧!!
想要远程连接,我们要解决三个问题
- 开启3389端口
- 关闭防火墙
- 知道其用户与密码
一步一步来:
这个倒很简单,因为我们获得了靶机的shell,所以我们直接在靶机输入这些行命令就行!
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
这里我要说明一下,以免你们以后踩坑!!!
这一行命令只针对于Windows专业版,旗舰版,教育版,企业版本有效
对于家庭版无效!!!!!!!!对于家庭版无效!!!!!!!!对于家庭版无效!!!!!!!!对于家庭版无效!!!!!!!!对于家庭版无效!!!!!!!!
当初我就是一个劲的在自己家庭版的Windows上的cmd上面狂试,试到红温了都
才发现原来它不支持!!!!!!!哎,避雷了算
开了3389端口之后就要关闭防火墙了!!
先来查看一下防火墙的状态
netsh firewall show state
然后关闭防火墙(需要管理员权限哦,如果不是需要提权)
netsh firewall set opmode disable
然后记得再次执行一下第一条命令,以确保其成功关闭
这里就是要介绍这个强大的mimikatz工具(当时这个工具的出现可谓是轰动了全世界)
首先就是先通过蚁剑上传mimikatz上去
然后输入以下命令
mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords" "exit"
这样就能获得当前用户电脑的明文密码(仅限win7及相对较低的版本)
这样就能成功上线到这台电脑
在开始之前,先普及一下域的知识
在计算机网络中,工作组(Workgroup)是一种组织结构,其中计算机通过直接连接共享资源和文件的方式进行协作,而无需依赖集中式的身份验证和管理服务器。说白了,我们一般的家庭电脑就处在一个工作组的环境
在计算机网络中,域(Domain)是一种组织结构,它允许在网络中集中管理用户帐户、计算机、安全策略和资源。域通常使用域控制器(Domain Controller)来提供集中式的身份验证和访问控制服务。说白了就是有域控统一管理,而且域内主机之间相互信任的一种环境
进到内网,我们就要先进行信息收集!说到信息收集,可谓是既枯燥又累人
于是这里就简单的列举几个:
以下命令就能查看本地账号
net user
其中\\后面跟着的是机器名 分割线下面的是账号名
以下命令
whoami
其对应的格式是 域名\账号名 有主机的!!
这个命令可以查询域内账号
net user /domain
ipconfig /all
这个可以用于列出网卡的信息
net group "domain computers" /domain
这样可以看见当前的域环境中有三台电脑
我们还可以ping对应的主机名来获取其ip地址
nslookup -type=SRV _ldap._tcp
可以看见域中的DC(域控)名称为owa.god.org 而且它的IP地址192.168.52.138
arp -a
类似这样!!!
这个监听器用来监听web跳板机的流量
用cs自带的木马生成器,生成之后通过蚁剑传到web跳板机
在蚁剑上直接运行木马,就能看见上线(记得将sleep改成1,否则要等很久)
横向移动的方法巨多
先建立一个管道,在cs上以shell 开头运行以下命令
这时候web靶机就与DC建立了一个IPC管道,可以用于传输文件,创建服务
这个监听器用来监听域控的流量
先将本地生成的木马通过CS上传给web跳板机
然后通过这个命令将木马传给域控DC
注意哦这里这里的smb木马和普通的木马不同,普通的木马黑客是无法直接连接的,而smb beacon
则可以让黑客连接得到(这里我还没学,所以不太清楚!!)
关防火墙,开3389就不说了这些,我们直接讲一些有意思的
先给个命令,嘻嘻
看不懂不要紧,我来解释一下这个代码的意思
将192.168.52.138的3389端口的流量转发到web跳板机上的9999端口,当黑客连接web服务器的9999的端口的时候,就等于在直接访问内网DC的3389端口
所以我们在web跳板机上输入这行指令就好
然后连接web跳板机的9999端口,就好了!!!
这样就能成功的远程连接到我们的DC上了
能做到这里,可以就是说已经就是把整个内网打穿了,能独立地做到这一步,可以说已经是一个合格地红队人员了
当然了,内网地知识可不止这些,还有很多知识要去学习,这里只是九牛之中地0.00001毛