靶机介绍
此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。
注意:Win7双网卡模拟内外网
环境搭建
使用VMent2 作为内网,NAT作为外网网段
win7
账密及域
leo@sun.com 123.com
sunAdministrator dc123.com
双网卡模拟内网网
内网网卡:192.168.138.136
外网网卡:192.168.111.150
因为我不想改net网段了,所以就把win7的ip改过来了:
测试 DC和kali均能ping通:
启动phpstudy,如果提示要登录,那就切换另一个账号登录:
win2008
账号:sunadmin
密码:2020.com
更改之后密码:2024.com
内网ip:192.168.138.138
拓扑图
Windows 7:
Web服务器(使用的是PHPStudy,记得自己手动开一下)
模拟外网IP:192.168.111.150
内网IP:192.168.138.136
Windows Server 2008:
域控制器
内网IP:192.168.138.138
攻击者VPS:
OS:Kali Linux
IP:192.168.111.129
web打点
信息收集
端口扫描:
nmap -sV -Pn 192.168.111.150
开放端口:80端口,135端口,3306端口
ThinkPHP 5.23 RCE
访问80端口,是一个thinkphp网站,还是V5.0版本的:
上thinkphp漏洞工具,检测到挺多漏洞的:
使用TinkPHP 5.0.22/5.1.29 RCE 漏洞,来命令执行:
查看一下进程,没有发下杀软,那么可以直接上马
执行ipconfig发现还有一个网段,应该是存在内网的:
点击右边的GETSHELL:
文件写入成功,尝试蚁剑连接:
成功拿下shell
CS上线:
通过蚁剑,上传cs木马,执行:
提权:
使用ms14-058成功提权:
内网渗透
信息收集
查看是否存在域:
net config Workstation
没得说,肯定是存在域的:sun
端口扫描:
发现了另一台主机:DC:192.168.138.138
,
该主机,开放端口有 88、53、135、139、445
查看域控:
net group "domain admins" /domain
抓取明文密码:
CS中输入logonpasswords 或者右键点击抓取明文密码:
抓取密码如下:
横向移动
psexec横向
之前端口扫描出,发现域控的445端口开放,而且也抓取到相关密码,可以试一下psexec横向
创建smb监听器
选中目标右键—psexec:
填写相关信息:
成功拿下域控:
至此2台机器已经全部拿下:
权限维持
黄金票据
从DC中hashdump
出krbtgt
的hash值,krbtgt
用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:65dc23a67f31503698981f2665f9d858:::
在DC查看域的sid
:
S-1-5-21-3388020223-1982701712-4030140183-1000
右键-黄金票据:
填好内容,生成成功:
添加域控账号
执行以下命令生成域用户
shell net user hack 123qwe!@# /add /domain
shell net user /domain
shell net group "Domain Admins" hack /add /domain
痕迹清理
使用wevtutil进行清除
wevtutil cl security //清理安全日志
wevtutil cl system //清理系统日志
wevtutil cl application //清理应用程序日志
wevtutil cl "windows powershell" //清除power shell日志
wevtutil cl Setup
总结
内网横向的方法很多,可以使用ipc或者vmi等等。
权限维持这块,有人使用 创建 DSRM 后门的方式,也是可以的。
也可以开启3389远程桌面,可以看我之前的文章,这里我就懒得做了。
方法很多的,因为这个靶场还是较为简单的,只有2台机器,所以做的比较简单。