红队学习笔记---＞Day1

其实学web渗透的小编，一直都有一个当红队人员的心❤️❤️💕💕💕💕 虽然后面会学，但是小编还是购买了一些对应的书籍以及上网找了一些对应的资料

于是今天就来梳理一下我素未谋面的万里恩师的红队公开课，虽然是基础版本，但是对小白构建红队的知识体系还是非常友好的！！！

声明：本blog所涉及到的所有知识，截图，均来自与一下视频

 所有归纳仅仅为个人观点，如有侵权，请联系删除！！！

保命狗头：                           

 

目录

1.最基本的网络拓扑

2.开始攻击（拿下第一台web服务器）

1.Mysql 和Web服务的暴露

2.后台目录扫描

3.弱口令登录

4.Sql注入--->日志getshell 

5.蚁剑连接木马

6.（可无）开启3389远程连接

1.开启3389端口

2.关闭防火墙

3.获取用户的密码

3.拿下域控 

1.工作组（workgroup）

2.域（domain）

1.信息收集

1.收集本地账号

2.收集域账号

3.收集域内账号数量

4.查看网卡信息

5.查看域中的电脑的数量

6.查看域控信息

 7.展示本地计算机已经解析过的IP地址及其对应的物理MAC地址

2.cs先上线web跳板机

1.先设置一个监听器

 2.生成一个木马，并上线

3.横向移动之IPC$管道

4. 用SMB beacon 上线不出网机器

1.建立smb beacon监听器

2.生成smb类型的木马

3.通过IPC管道传这个木马给DC

4.通过IPC管道创建服务

5.开启服务

​6.最后一步，连接木马！！

3.远程连接域控

端口转发

至此，已成艺术！！！

---

1.最基本的网络拓扑

先是讲一下本次红队攻防实验的网络拓扑：

• 先是一个双网卡的web服务器 111.128 和52.143这两个网卡
• 然后就是一个在名为GOD的域的DC 52.138
• 最后就是一台域内主机 52.143

2.开始攻击（拿下第一台web服务器）

1.Mysql 和Web服务的暴露

首先万里老师是用的御剑去扫的这个ip

发现开启了3306和80端口  所以说明了啥？？？  嘿嘿！！

               聪明的你一眼就能发现这是对应的web和mysql服务了吧  

2.后台目录扫描

还是用的御剑，后台目录扫描，其实现实中也可以用dirsearch这种去扫（不过最好有授权）

能扫出来一个phpmyadmin/db_create.php的一个后台路径

3.弱口令登录

接着就是通过弱口令（两组root）成功进入到了网站的后台

4.Sql注入--->日志getshell 

进去之后能找到一个能执行sql语句的地方，于是就可以使用日志getshell

 这个具体方法在我之前的blog里面讲过，我就偷懒一下不多赘述了

通过这些代码就能成功getshell了  ！！       

5.蚁剑连接木马

通过成功输入刚才的连接的木马，就能成功的连接上木马，进入内网了！！！

这样我们就拿下了第一台双网卡web服务器了    

6.（可无）开启3389远程连接

这一步其实可有可无，但是其中涉及到了一些其他不错的知识，于是我也就来说一下吧！！

想要远程连接，我们要解决三个问题

1. 开启3389端口
2. 关闭防火墙
3. 知道其用户与密码

一步一步来：

1.开启3389端口

这个倒很简单，因为我们获得了靶机的shell，所以我们直接在靶机输入这些行命令就行！

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

 这里我要说明一下，以免你们以后踩坑！！！

这一行命令只针对于Windows专业版，旗舰版，教育版，企业版本有效

对于家庭版无效！！！！！！！！对于家庭版无效！！！！！！！！对于家庭版无效！！！！！！！！对于家庭版无效！！！！！！！！对于家庭版无效！！！！！！！！

当初我就是一个劲的在自己家庭版的Windows上的cmd上面狂试，试到红温了都

才发现原来它不支持！！！！！！！哎，避雷了算

2.关闭防火墙

开了3389端口之后就要关闭防火墙了！！

先来查看一下防火墙的状态

netsh firewall show state

然后关闭防火墙（需要管理员权限哦，如果不是需要提权）

netsh firewall set opmode disable

然后记得再次执行一下第一条命令，以确保其成功关闭

3.获取用户的密码

这里就是要介绍这个强大的mimikatz工具（当时这个工具的出现可谓是轰动了全世界）

首先就是先通过蚁剑上传mimikatz上去

然后输入以下命令

mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords" "exit"

这样就能获得当前用户电脑的明文密码（仅限win7及相对较低的版本） 

这样就能成功上线到这台电脑

3.拿下域控 

在开始之前，先普及一下域的知识

1.工作组（workgroup）

在计算机网络中，工作组（Workgroup）是一种组织结构，其中计算机通过直接连接共享资源和文件的方式进行协作，而无需依赖集中式的身份验证和管理服务器。说白了，我们一般的家庭电脑就处在一个工作组的环境

2.域（domain）

在计算机网络中，域（Domain）是一种组织结构，它允许在网络中集中管理用户帐户、计算机、安全策略和资源。域通常使用域控制器（Domain Controller）来提供集中式的身份验证和访问控制服务。说白了就是有域控统一管理，而且域内主机之间相互信任的一种环境

1.信息收集

 进到内网，我们就要先进行信息收集！说到信息收集，可谓是既枯燥又累人

于是这里就简单的列举几个：

1.收集本地账号

以下命令就能查看本地账号

net user

 其中\\后面跟着的是机器名 分割线下面的是账号名

2.收集域账号

以下命令

whoami

其对应的格式是 域名\账号名     有主机的！！

     这个账号是可以登录到域内的所

3.收集域内账号数量

这个命令可以查询域内账号

net user /domain

4.查看网卡信息

ipconfig /all

 这个可以用于列出网卡的信息

5.查看域中的电脑的数量

net group "domain computers" /domain

 这样可以看见当前的域环境中有三台电脑

我们还可以ping对应的主机名来获取其ip地址 

6.查看域控信息

nslookup -type=SRV _ldap._tcp

 可以看见域中的DC（域控）名称为owa.god.org 而且它的IP地址192.168.52.138

 7.展示本地计算机已经解析过的IP地址及其对应的物理MAC地址

arp -a

 类似这样！！！

2.cs先上线web跳板机

1.先设置一个监听器

这个监听器用来监听web跳板机的流量

 2.生成一个木马，并上线

用cs自带的木马生成器，生成之后通过蚁剑传到web跳板机

在蚁剑上直接运行木马，就能看见上线（记得将sleep改成1，否则要等很久）

3.横向移动之IPC$管道

横向移动的方法巨多

  可以说是数不胜数

先建立一个管道，在cs上以shell 开头运行以下命令

 这时候web靶机就与DC建立了一个IPC管道，可以用于传输文件，创建服务

4. 用SMB beacon 上线不出网机器

开始内网穿透     

1.建立smb beacon监听器

这个监听器用来监听域控的流量

2.生成smb类型的木马

3.通过IPC管道传这个木马给DC

先将本地生成的木马通过CS上传给web跳板机

 然后通过这个命令将木马传给域控DC

4.通过IPC管道创建服务

5.开启服务

6.最后一步，连接木马！！

注意哦这里这里的smb木马和普通的木马不同,普通的木马黑客是无法直接连接的，而smb beacon

则可以让黑客连接得到（这里我还没学，所以不太清楚！！）

3.远程连接域控

关防火墙，开3389就不说了这些，我们直接讲一些有意思的

                ​​​​​​​        

端口转发

先给个命令，嘻嘻

看不懂不要紧，我来解释一下这个代码的意思

将192.168.52.138的3389端口的流量转发到web跳板机上的9999端口，当黑客连接web服务器的9999的端口的时候，就等于在直接访问内网DC的3389端口

 所以我们在web跳板机上输入这行指令就好

然后连接web跳板机的9999端口，就好了！！！

 这样就能成功的远程连接到我们的DC上了

 

至此，已成艺术！！！

 能做到这里，可以就是说已经就是把整个内网打穿了，能独立地做到这一步，可以说已经是一个合格地红队人员了

当然了，内网地知识可不止这些，还有很多知识要去学习，这里只是九牛之中地0.00001毛

 像这些，又不仅限于这些，都是每个红队人员必会的知识，慢慢学！总会看到胜利的曙光！！！！！