MENU

内网渗透-红日靶场一

February 20, 2022 • Read: 574 • Penetration testing

开始内网渗透了噢

环境搭建

靶场下载链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
自己只需要稍微配置一下网络即可
为win7添加一个网络适配器2,网络适配器设置为“NAT模式”用于与主机通信,网络适配器2设置为“仅主机模式”用于内网通信。win2003和win2008则都设为仅主机模式。
拓扑图如下所示:
L0PV31HTVNKTYXDH.png

外网打点

用msf进行主机探测
~L_ZND_0G6BOEY@%B[FQ[G4.png

然后端口扫描
SXVCJ4TRLE_(P@PD0{WY)$N.png

发现开了80端口和3306端口
访问80端口,发现存在php探针
1645947354(1).jpg

disearch扫描目录
22{7Y@PK)6CACHY6Z7%YWLP.png

外网渗透

发现了phpmyadmin,然后访问,弱密码root/root登录
0`0ZL4JIL8SMCJZSFVVFAIW.png

可以直接通过sql写文件上马,来看看相关设置开没
@GNCSLXZ7S$MNF@WSV6`%8A.png

发现并没有打开
再来试试写sql日志上马
Y7LF5DEUNT1_2`R1_H0Z98K.png

发现未开启,开启general log模式
Z0GW~N0UN5@_KZ1SI[CD~@U.png

因为在php探针中找到路径,然后设置日志文件路径
D)KJA7(0@0937L[9%_9K[BS.png

然后写入日志文件即可
VO05W{[IB6D4ZBRHDWIO4ZX.png

上蚁剑
)I0_%QO2YWYM_M26)U17X4W.png

用终端先看看有无杀软开启,发现并没有
一些常见的杀软

进程名                    软件
360sd.exe                 360 杀毒
360tray.exe               360 实时保护
ZhuDongFangYu.exe         360 主动防御
KSafeTray.exe             金山卫士
SafeDogUpdateCenter.exe    安全狗
McShield.exe              McAfee
egui.exe                  NOD32
AVP.exe                  卡巴斯基
avguard.exe              小红伞
bdagent.exe              BitDefender

内网信息搜集

上线CS

先cs起一个监听
然后生成后门文件,通过蚁剑的web服务的shell上传
BXKOMJ2Y29ZU96H0@8.png

然后通蚁剑的终端运行
L7XD9%%CXETOPPB53~REC.png

上线cs
S61AD2A8DU6337C(Z[DB8{T.png

sleep 1
shell whoami
shell ipconfig

FX_OH2QIM[6H3K~J@$GC9$H.png

发现两个网段,一个外网一个内网

192.168.205.133

192.168.52.143

shell hostname //查看主机名
shell net config Workstation //查看当前登录域和用户信息

9D3ZB3PNX85WYMEHUI4.png

shell net view /domain //查看主域信息
shell net view //查看域信息
@BT}P0LCBR$Z7RQ[$M8OYW7.png

提权

先来看看防火墙开了吗

shell netsh firewall show state

然后关闭防火墙

shell netsh advfirewall set allprofiles state off

再新建立一个监听器,然后使用cs自带的提权
P[EHGQ6$8E65V[$W20HSYV8.png

得到system权限,然后再看看域信息!
A2SPW$QX0V3R3TBV.png

发现域控是OWA

横向移动

用cs里自带的hashdump获取内存中的凭证
E78VOSXXJ{5ITOV07.png

然后再mimikatz获取明文密码的命令
U)FHKTSPO}2~7N[@Q3O)$3F.png

在密码凭证中更好查看
IX1RU5IK54HRWTOM8.png

SMB Beacon和psexec传递(msf中的hash传递攻击)

SMB Beacon 使用命名管道通过父级 Beacon 进行通讯,当两个 Beacons 链接后,子 Beacon 从父 Beacon获取到任务并发送。因为链接的 Beacons 使用 Windows 命名管道进行通信,此流量封装在 SMB 协议中,所以 SMB Beacon 相对隐蔽,绕防火墙时可能发挥奇效

然后直接派生,新建一个listener,pyload设置为beacon_smb
在Beacon 上右键 Spawn(生成会话 / 派生),选择创建的 smb beacon 的 listerner
选择后会反弹一个子会话,在 external 的 ip 后面会有一个链接的小图标
Z4BNBC3$3)ZDMCE~Y_5MO{4.png

就是说通过之前的beacon为跳板通过SMB去连接新beacon获取权限shell,然后直接查看网络拓扑图

接着因为有了凭证,也有了安全的通话环境,所以可以使用psexec进行横向移动

成功上线,并返回新的beacon

结语

这个内网靶机难度较低,渗透win7很容易,主要是内网部分,然后内网信息收集跟着笔记走,完全不知道自己想干嘛,思路有的乱,集完信息之后也不知道怎么域横向了,尝试很多种方式上传后门的时候把环境搞的一团糟,恢复了几次快照,这就造成了后期清理痕迹带来了很大的工作量,在实战环境肯定会被发现。毕竟第一次,后面还得好好学。

参考链接:https://www.freebuf.com/articles/web/244095.html

声明:本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担! 本网站采用BY-NC-SA协议进行授权!转载请注明文章来源! 图片失效请留言通知博主及时更改!

Last Modified: August 24, 2022
Archives Tip
QR Code for this page
Tipping QR Code
Leave a Comment