红日靶场一
一、靶场拓扑图
二、关闭防火墙
三台靶场机器都搭建好之后,在我的win10上访问win7,发现打不开网页,但是在win7的浏览器访问自己的80端口又是能够访问到探针网页的。然后发现win7的防火墙没关,关了就能在win10上成功访问win7的探针页面了。
三、渗透
使用fscan收集win7的信息,发现MS17-010
利用MSF的模块成功拿下
通过查看win7的网卡,发现有内网环境
再使用目录扫描看看,发现phpmyadmin
弱口令root/root就进来了
这下为NULL就不能写dll了
回顾一下MySQL的利用方式
1 | UDF提权GetShell |
现在只有利用日志文件写Shell了,先看看日志文件路径
1 | show global variables like '%general%'; |
1 | set global general_log=on; |
为什么这里的地址是www路径,使用过phpstudy的都知道,MySQL安装目录是和WWW目录是在同一个目录下的
连接成功
内网信息收集
先上线CS
通过查看systeminfo命令发现存在域,域名为god.org,且只打了4个补丁
1 | #查看杀软进程 |
也没有杀软
看一下都装了什么软件
DNS服务器所在的网段为192.168.52.0/24
1 | netsh advfirewall show all state //查看防火墙状态 |
防火墙是关闭的
查看计算机的域名
1 | net group "domain computers" /domain |
通过ipconfig /all可知道当前win7的名字为STU1,另外两个是DEV1和ROOT-TVI862UBEH
查看域管理员用户
1 | net group "domain admins" /domain |
1 | net view # 查看局域网内其他主机名 |
域管理员为OWA
CS设置代理,fscan探测存活
找到2台存活主机192.168.52.138、192.168.52.141
给win7的session加上一个到达192.168.52.138的路由,并探测一下17-010
不过没有利用成功
使用stowaway上个代理,挂上代理扫描一波192.168.52.0/24网段
1 | #mimikatz的一些命令 |
抓到明文密码hongrisec@2022
上线CS并提权
设置监听器,利用蚁剑把马儿上传上去
本想扫描一下端口
1 | use auxiliary/scanner/portscan/tcp |
前面已经发现安装了nmap,就使用nmap来信息收集,懵逼的是在MSF拿的Shell里执行nmap命令提示找不到nmap,CS里也是一样显示找不到,在蚁剑的伪终端里就能使用nmap,发现135/139/445端口也开着的
MSF使用ms17-010扫描模块发现都存在永恒之蓝漏洞
但是192.168.52.141是32位的,就不能使用永恒之蓝去打,但是可以使用命令执行,所以这里可以添加个账号,用3389登录上去,挨个利用命令执行模块执行以下命令
1 | set command net user axin axin123 /add |
再使用3389连接,成功
收集信息到CS
1 | net view |
然后使用hash传递,psexec到其他主机