红日靶场（一）vulnstack1 渗透分析

原创

用户10714950

发布于 2023-08-21 14:52:58

7140

发布于 2023-08-21 14:52:58

文章被收录于专栏：内网安全内网安全

环境搭建

ip段设置

kali可以访问win7，但不能直接访问win08和win2k3

开启win7 web/mysql服务

信息收集

端口扫描

80/tcp open http 3306/tcp open mysql

web目录扫描

=

爆破登录

访问80端口是一个phpStudy 探针，结合phpinfo.php和探针知晓主目录在C:/phpStudy/WWW

bp爆破mysql的root弱口令获得root的密码

进入phpmyadmin，用root/root尝试登录成功

PhpMyAdmin 后台 Getshell

phpmyadmin有两种getshell方式

into outfile导出木马利用Mysql日志文件getshell

into outfile

需看要secure_file_priv的值。当value为“null”时，不允许读取任意文件，当value为“空”时，允许读取任意文件，value可也已设置为其他路径。

当secure_file_priv为NULL时，表示限制Mysql不允许导入导出，这里为NULL。所以into outfile写入木马出错。要想使得该语句导出成功，则需要在Mysql文件夹下修改my.ini 文件，在mysqld内加入secure_file_priv =""。(windows下修改配置文件：mysql.ini linux修改配置文件：my.cnf)

Mysql日志文件写入shell

general_log	ON
general_log_file	C:/phpStudy/www/hack.php

CS后渗透

上传免杀后门qm.exe上线cs

关闭防火墙

查看用户为god\administrator域管权限，收集域内信息

选择psexec横向移动

网络拓扑图如下

VPN部署

代理远程桌面

MSF后渗透

CS派生会话给MSF

新建会话到该新建的监听器

查看主机是否运行在虚拟机上

关闭掉目标主机的杀毒软件，通过命令

获取目标主机的详细信息

meterpreter > sysinfo Computer : STU1 OS : Windows 7 (6.1 Build 7601, Service Pack 1). Architecture : x64 System Language : zh_CN Domain : GOD Logged On Users : 3 Meterpreter : x86/windows

Meterpreter支持非常多的文件系统命令（基本跟Linux系统命令类似），一些常用命令如下：

获取内网网段信息

Subnet Netmask Gateway undefined 169.254.0.0 255.255.0.0 Session 1 192.168.10.0 255.255.255.0 Session 1 192.168.145.0 255.255.255.0 Session 1

配置并启用隧道

横向移动

192.168.10.181: - 192.168.10.181:80 - TCP OPEN 192.168.10.181: - 192.168.10.181:135 - TCP OPEN 192.168.10.181: - 192.168.10.181:139 - TCP OPEN 192.168.10.181: - 192.168.10.181:445 - TCP OPEN 192.168.10.181: - 192.168.10.181:3306 - TCP OPEN 192.168.10.181: - 192.168.10.181:3389 - TCP OPEN

192.168.10.182: - 192.168.10.182:135 - TCP OPEN 192.168.10.182: - 192.168.10.182:139 - TCP OPEN 192.168.10.182: - 192.168.10.182:445 - TCP OPEN

有445端口，尝试永恒之蓝ms17-010攻击

漏洞扫描

利用（内网环境，需要正向shell连接）

并没有拿到shell，ms17-010直接拿到shell的情况并不多，成功率不高

哈希传递攻击(PTH)

hashdump

ps：ms6中 mimikatz模块已经合并为kiwi模块

抓取失败了，emmmm，重新上线cs抓取

psexec|hash传递

在 Metasploit 中，经常使用于哈希传递攻击的模块有：

探测445

exploit/windows/smb/psexec模块哈希传递攻击 Windows Server 2008

知识补充

nmap

参数分类

主机发现

端口扫描

服务和系统探测

脚本

设置时序和性能

扫描结果

设置输出

参数速查表

参数(区分大小写)	说明
-sT	TCP connect()扫描，这种方式会在目标主机的日志中记录大批连接请求和错误信息。
-sS	半开扫描，很少有系统能把它记入系统日志。不过，需要Root权限。
-sF -sN	秘密FIN数据包扫描、Xmas Tree、Null扫描模式
-sP	ping扫描，Nmap在扫描端口时，默认都会使用ping扫描，只有主机存活，Nmap才会继续扫描。
-sU	UDP扫描，但UDP扫描是不可靠的
-sA	这项高级的扫描方法通常用来穿过防火墙的规则集
-sV	探测端口服务版本
-Pn	扫描之前不需要用ping命令，有些防火墙禁止ping命令。可以使用此选项进行扫描
-v	显示扫描过程，推荐使用
-h	帮助选项，是最清楚的帮助文档
-p	指定端口，如“1-65535、1433、135、22、80”等
-O	启用远程操作系统检测，存在误报
-A	全面系统检测、启用脚本检测、扫描等
-oN/-oX/-oG	将报告写入文件，分别是正常、XML、grepable 三种格式
-T4	针对TCP端口禁止动态扫描延迟超过10ms
-iL	读取主机列表，例如，“-iL C:\ip.txt”