红日靶场(一)
下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
win7:双网卡机器
win2003:域内机器
win2008域控
web阶段
访问目标机器
先进行一波信息收集,扫一下端口和目录
扫到phpmyadmin,还有一堆不知道什么端口,先爆破下3306
爆破无果
访问phpmyadmin进行爆破,用户密码为root
因为phpstudy探针上有网站的绝对路径,所以想直接out_file写一个webshell
好的php配置文件中没开启写入文件的选项,换一个方法,通过日志写入shell
通过蚁剑连接
内网
命令行查看ip,以及当前用户,域信息收集
有域环境
定位域控
上传fscan
没有回显,-o将扫描结果保存到本地
192.168.52.138和192.168.52.141都存在ms17-010
想通过msf扫描ms17-010,先生成一个马
通过蚁剑上传,并执行
提权,设置路由
保存会话,搜索ms17_010
use进入,show options查看并设置参数,设置被控机器ip
试试了一下141发现不成功
攻击138成功
138是域控,那么就可以对141进行访问,进入cmd查看域内机器
访问ROOT-TVI862UBEH
搞黄金票据
查看域名称
返回meterpreter抓krbtgt的hash
获取krbtgt的hash和sid
执行命令
golden_ticket_create -d (域名称) -k (krbtgt的hash) -u (随便用户名称) -s (krbtgt去掉后面-后的sid) -t (保存到本地的路径以及文件名称)
例
golden_ticket_create -d god.org -k 58e91a5ac358d86513ab224312314061 -u administrator -s S-1-5-21-2952760202-1353902439-2381784089 -t /root/administrator.ticket
执行完后可在msf本地查看生成的票据文件
CS通过票据传递速通
和上面的步骤一样,上传cs的马,通过webshell执行
提下权
内网网段192.168.52.0/24
扫描端口,刚好显示存在域环境
这里信息收集什么的就不做了,因为上面做过了
创建一个中转回话来监听138的会话
mimikatz抓取hash
先hash传递试试138
设置监听器,以及使用哪个会话去攻击
攻击成功,返回会话
不好意思家人们,刚才点错了本来想打138的,点错了打成141了不过没事不影响
继续141抓hash
抓取后重新来个中转监听138,其实给下面的机器设置也行,我弄着玩的
如果真实环境为了连通性,还是建议直接设置下面192.168.171.185这个机器(也就是141的外网ip)
监听器选择刚刚创建的
因为是从141走过去打,所以会话是选择141的
好了到这里就结束了