渗透攻击红队 redTeam -3 writeup

这是一篇不一样的write up

靶场网络拓扑：

1.扫描内网发现存在80和3306端口:

image

​

image

​

2.发现192.168.1.114，访问80端口：

​

image

​

​3.用xray扫描，发现有phpmyadmin：

image

​

4.经过测试发现phpmyadmin存在弱口令：root/root

​

image

​

5.尝试利用phpmyadmin 日志写shell，先查看绝对路径：

 select @@datadir
C:\phpStudy\PHPTutorial\MySQL\data\

image

6.设置日志路径：

image

7.写shell：

image

​8.直接访问，system权限：

image

本地信息收集：

无杀软

image

​

10.直接上线cs：

image

​

11.存在双网卡：

ipconfig

image

12.域名:root.redteam.lab

​systeminfo

image

​13.导出密码：

beacon> hashdump​

image

14.解密administrator账户密码：

image

​15.尝试开启rdp服务:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f​

image

​16.成功登录192.168.1.114管理员桌面：

image

​17.再上线管理员权限的beacon会话：

image

18.发现当前内网有两台机器：

image

19.利用pth（administrator权限）横向10.0.1.8失败：

image

20.拿到子域的时候应该要明白这是个子域，直接ping域名：

子域名：root.redteam.lab
父域名：redteam.lab

image

​21.对10.0.0段进行扫描：

22.在现有的192.168.1.114上尝试对10.0.0.8进行pth（administrator权限）横向成功，当然也可以用impacket工具包里的psexec：

image

​23.上cs，前期已经建立ipc链接，可以使用unc路径上传木马：

image

24.使用wmic执行命令发现不出网：

image

​25.使用smb beacon:​

image

26.传马，上线：

link 目标ip

image

​

27.本地信息收集：

image

28.发现当前账户为域管：

net group "domain admins" /domain

image

​

29.拿到域管权限可以使用dcsync导出所有账户hash：

image

30.解密：

image

​

31.开启域控3389：

image

image

​

32.本机查看域结构的时候发现这个机器：

image

​

33.尝试ping：

image

​

34.成功横向至10.0.0.7：

image

35.开启3389：

image

​

36.成功：

image

​37.桌面有个邮件，点开：

image

​38.成功：

image

​