红日内网靶场（一）通关流程

红日内网靶场（一）通关流程：

下载地址：http://vulnstack.qiyuanxuetang.net/vuln/

---

第一步：安装靶场环境

下载完成后有三个虚拟机，解压出来就可以了

还需要更改一下网卡设置，添加一块仅主机网卡，网段为192.168.52.0/24

网卡设置如下：

设置完网卡后，还需要更改虚拟机的网卡设置

Win7需要双网卡，设置如下：

其余两台主机都为内网主机，仅需要一个内网网卡（仅主机）

WinServer2008网卡设置如下：

Win2K3网卡设置如下：

设置完成后，就可以打开靶场环境。这里需要注意的是：

要么将自己的NAT网卡改为虚拟机的静态IP网段，要么虚拟机的外网卡设置为自动获取

默认密码：hongrisec@2019

且Win7第一次登录后需要重启才能打开phpstudy，重启后需要更改密码，phpstudy在C盘根目录下

至此，环境配置完成，可以开始实战了

---

第二步：实战

kali IP Address：192.168.48.129
Win10（综合渗透平台） IP Address：192.168.48.128

1. 信息收集

kali上用arp-scan可以扫描服务器（因为这里就一台对外开放的......）

arp-scan -l

去1、2、254三个，将自己的Win10也去掉，只剩下136了，那么可以确定136就是要攻击的对象。先对其进行nmap扫描

nmap -sV -n -T5 192.168.48.136

开放了80，135，3306，可以先去看看80的情况，用dirsearch扫描一下后台

dirsearch --url http://192.168.48.136

发现这后台居然有phpmyadmin，那直接去看看

emmmmmm，很明显我是没有密码的，常用弱口令试试

这里弱口令是root/root

直接就进来了，事情变得简单起来了，结合刚刚的扫描结果得知，这个服务器还开放3306端口，说明这里大概率是可以控制数据库的。只不过我们刚刚进来的时候就已经得到了一个很关键的线索

暴露出CMS后，我们就可以尝试去网上搜一下（我也不知道为什么dirsearch自带的字典扫不出来yxcms，但是也没关系，毕竟你都知道存在yxcms了，迟早可以试出来），发现yxcms是存在后台写🐎漏洞的，再用御剑扫描一下能否出来yxcms

虽然吧也没扫出来，但是可以看到扫出来了一个beifen.rar，猜测大概率是网站源码备份，可以将其下载下来

到这里我们就可以发现，原来还有个yxcms的目录没扫出来，可以直接进去看看了

这公告信息很实诚啊，生怕我们不知道有后台和弱口令的......

那既然都告诉你了，刚刚百度搜索yxcms也得到了一个信息，就是yxcms的后台是可以写马子的，到这一步开始，针对外网部分的信息收集就结束了

2. 外网打点

信息收集结束后，可以大致规划出一个突破点：

yxcms后台管理系统写入一句话木马

我们先登入后台看看具体是个什么事

admin/123456直接进去，写马子的位置在前台模板-->管理模板文件

随便找个文件里面添加一个一句话木马就可以了，这里我用的自带的info.php（或者你把原来的删掉添加也可以，亦或你自己添加一个文件也行）

写完了保存，但是会有个究极大问题，你也不知道马子写哪里去了（没有回显路径）

没事，刚刚不是下载了一个beifen.rar吗？直接去beifen.rar里面找路径就行了（或者你自己百度，这种CMS漏洞一般都有路径的）

最终也是顺利找到路径了，具体位置如下：

http://192.168.48.136/yxcms/protected/apps/default/view/default/info.php

那直接蚁剑整起来

连接上了，先看看权限如何

whoami

还行，但不太行。对于一个有梦想的咸鱼来说，怎么能只满足于administrator？

先看看防火墙情况

netsh advfirewall show allprofiles state

就这东西搁谁谁能忍？直接关掉

netsh advfirewall set allprofiles state off

舒服了，再看一下网卡情况，用户情况

ipconfig /all | net user | net localgroup administrators

存在两张网卡，管理员组还有个GOD域中的管理员组，也就是还有域服务

不过目前也只能做到这些了，外网打点部分结束

3. 内网横向

内网就需要用到内网的大杀器了，cobalt strike（反恐精英）【不是】

其实这个Win10综合渗透平台上面也是有cobalt strike的，但是这个版本生成的木马开不起来，后来还是决定在kali上装一个cobalt strike算了

如果有自己的cobalt strike就用自己的，这里给没有的朋友推一下我的cobalt strike

百度网盘链接：https://pan.baidu.com/s/1bTonxlO5itVltOsiTYjr0g?pwd=2n71 提取码：2n71

下载完成后解压，里面还有一个文件夹，那个是cobalt strike本体，分为客户端和服务端两大部分，都丢进kali就可以了
下面演示一下安装步骤：

先开一个终端，把服务端先开起来

./teamserver 192.168.48.129（Kali IP） 123456（登录密码自己设置）

然后开启客户端，这里只有Host和Password需要修改，其余默认就行，然后点击Connect就可以连接上来了

我们先开启一个监听

然后创建监听器，这里面只需要更改HTTP Hosts和HTTP Port就行，更改完成后Save即可

然后创建一个马子，选择Windows可执行程序

监听器选择刚刚创建的，输出类型和是否64位就看个人场景了，默认64位勾上就行，输出类型默认即可，然后导出一个木马文件

然后用WinSCP，传到Windows那边的蚁剑，然后再用蚁剑上传到靶机中去

注意下kali那边需要开启ssh服务哦~ service ssh restart

上传完成后，在蚁剑中直接运行就可以了

回到kali那边，应该是可以直接反弹回来一个会话的

右键Access-->Elevate（提权），试试看能不能一键提权

监听器依旧选择刚刚的那一个，Exploit默认即可，然后点击Launch

提权成功的话，就会形成一个新的SYSTEM的会话

那么第一台靶机已经获取到SYSTEM权限了，我们现在可以开始对其进行内网探测

shell net group "domain admins" /domain

域管好像没什么东西，再看看域里面的主机

shell net group "domain computers" /domain

有三个主机，直接内网扫端口

portscan 192.168.52.0/24 1-1024,3389,5000-6000 arp 1024

似乎都开放139，445端口啊，那直接Smb连上去就完事了

不过在此之前，我们得先暴力破解一下域用户密码，用mimikatz就可以了

暴力破解结果可以得出域管密码为P@ssw0rd，接下来就好办了

创建Smb监听器

点击左上角这个图标，可以让你更清晰的看到内网结构

在蚁剑中我们得知了目前已经取得SYSTEM权限的IP地址为128，那么Smb连接另外两个就可以了

监听器选择刚刚创建的Smb监听器，会话选择第一个SYSTEM的会话

回到主页面，如果出现第二个SYSTEM会话，证明Smb连接上了，接下来采取相同的做法，连接第三个

这样我们三台主机就都获取到了SYSTEM权限了，实验圆满成功！