红日靶场-5

环境搭建

这个靶场相对于前几个靶场来说较为简单,只有两台靶机,其中一台主机是win7,作为我们的DMZ区域的入口机,另外一台是windows2008,作为我们的域控主机,所以我们只需要给我们的win7配置两张网卡,给我们的Windows2008配置一张网卡即可,如下所示

我们的IP地址如下所示

机器名称 内网IP 外网IP
攻击机(kali) 192.168.20.143
win7 192.168.138.136 192.168.20.146
Windows2008(DC) 192.168.138.138

我们的各机器账号密码如下所示

复制代码
win7
sun\heart 123.com
sun\Administrator dc123.com

windows2008
sun\admin 2020.com

记得进入win7打开phpstudy开启web服务

外网环境探测

首先我们使用nmap和fscan进行全网段扫描,如下所示

我们发现这里的web服务是thinkphp5.x版本,且fscan帮我们检测出来了存在rce漏洞,我们直接利用thinkphp利用工具进行rce,如下所示

我们选择好漏洞版本,然后点击getshell即可,如下所示

我们发现我们这里自动帮我们上传了一个php脚本,我们直接用蚁剑进行连接即可

上线cs

我们在cs创建一个监听器,如下所示

我们这里命名为exe监听,并将监听端口设置为9001,点击保存即可

之后我们生成一个恶意exe文件,如下所示

生成后将这个文件通过蚁剑上传到我们的靶机,命令行运行后我们可以在我们CS上收到会话

拿到会话第一步,进行权限提升,我们这里直接使用cs自带的权限提升工具

我们将权限升至system权限后,首先第一步把防火墙关闭,方便我们后续进行操作

内网信息收集

成功上线后进行信息收集,我们首先将域控IP找出来,我们执行net view即可,如下所示

我们这里发现了域控主机IP为192.168.138.138,且开放了445端口,那我们就可以使用哈希传递利用已知的密码打域控主机,我们首先使用mimikatz获取明文密码,如下所示

获取了各种凭据之后我们就可以进行哈希传递攻击了

哈希传递攻击

我们创建SMB监听器,如下所示

选择哈希传递即可

点击运行后即可获得DC域控的权限,如下所示

创建黄金票据

在DC上运行mimikatz抓取哈希值和明文密码,然后通过SID、域名和krbtgt哈希创建属于我们自己的黄金票据即可,如下所示

至此整个靶场全部攻克,接下来进行痕迹清理即可

相关推荐
失因14 分钟前
Web 服务详解:HTTP 与 HTTPS 配置
linux·运维·前端·http·https
cpsvps_net27 分钟前
容器安全扫描工具在海外云服务器环境的集成方法
运维·服务器·安全
crushqqi41 分钟前
【跨服务器的数据自动化下载--安装公钥,免密下载】
服务器·python·自动化
skywalk81631 小时前
vagrant和itamae怎么配合使用? (放弃)
运维·前端·ruby·vagrant
先天打工圣体的男人1 小时前
Linux环境gitlab多种部署方式及具体使用
运维·git·gitlab
岚天start1 小时前
iptables -L 显示无目标链规则,但是iptables-save显示仍存在链规则原因分析
linux·服务器·网络·iptables·nat·filter·mangle
孙克旭_2 小时前
day073-Jenkins消息通知与pipline流水线
linux·运维·jenkins
mohesashou2 小时前
云原生作业(nginx)
运维·nginx
阿明 -李明4 小时前
鲲鹏arm服务器安装neo4j社区版,实现图书库自然语言检索基础
服务器·ubuntu·neo4j
先做个垃圾出来………4 小时前
Python 标准库模块shutil
linux·服务器·python