ATTCK实战系列-红队评估 (一)Vulnstack三层网络域渗透

news2024/11/15 7:17:54

目录

一、搭建环境

1.靶场下载地址:

2、网络拓扑

3、环境配置

Win7(外网服务器 )

Win2008(域控)

Win2003(域成员)

4、启动环境

二、信息收集

1、端口扫描

2、目录扫描

三、漏洞利用

1、用MySQL日志写入shell

2、蚁剑联动cs

创建 windows 可执行 exe 程序

四、内网渗透

1.回连间隔改为0(仅限靶场 实战不要改成0    ^_^)

2、关闭防火墙

3、权限提升

五、内网信息收集 

1、查看网络适配器 

2、查看本地用户

3、查看计算机名

4、判断是否存在域

5、查看有几个域

6、端口扫描

7、使用Mimikatz抓取明文密码

六、内网横向

1、创建SMB监听器

2、切换攻击目标 如何右键选择横向移动(jump)——>psexec

3、横向成功 记得关闭防火墙

七、权限维持(黄金票据)

1. 抓取 Hash 还有明文密码 

 2.配置黄金票据

八、痕迹清除


一、搭建环境

1.靶场下载地址:

下载解压后分别点开文件夹里的.vmx文件使用VMware打开即可。

2、网络拓扑

3、环境配置

添加一个虚拟网络设置为仅主机模式并改为192.168.52.0/24的地址

【注】域环境三台虚拟机的 IP 初始状态就已经被配置为固定的 192.168.52.X/24网段(同时域控 IP 也配的必定为 192.168.52.138) 所以 VMware 仅主机模式的 VMnet2 网卡应注意也配置为 192.168.52.X/24 网段

给Win7加一张网卡,一张网卡为NAT,另一张是我们刚刚添加的VMnet2 并如下设置

Win2008(域控)和Win2003(域成员)都设置为VMnet2

完成后我们登录进每台机器里看一下IP地址 登陆密码均为:hongrisec@2019 如果登录出现问题需要改密码 改为Qwer1234即可

Win7(外网服务器 )

外网IP为:192.168.72.130

Win2008(域控)

Win2003(域成员)

4、启动环境

Win7(外网服务器)上打开phpstudy服务 环境的问题就OK了

二、信息收集

1、端口扫描

扫描192.168.72.130 发现开放了80端口 访问一下发现是一个PHP探针

暴露了绝对路径,并且在下面发现了MySQL数据库连接 尝试弱口令连接 root:root 连接成功

2、目录扫描

dirb使用

-a     设置user-agent
-p     <proxy[:port]>设置代理
-c     设置cookie
-z     添加毫秒延迟,避免洪水攻击
-o     输出结果
-X     在每个字典的后面添加一个后缀
-H     添加请求头
-i     不区分大小写搜索

我们继续访问尝试弱口令登录(也可使用暴力破解工具)

三、漏洞利用

1、用MySQL日志写入shell

要想网站内部写入木马 需要知道网站的绝对路径 "select @@basedir"是查看MySQL在本地的安装路径的指令

我们得到了文件路径后就可以往目标路径里植入代码

我们发现写入失败,通过查询得知这里不能使用into outfile的方式写入shell。通过"show variables like '%secure_file%' "查询下是否能直接写入shell 显示为 NULL

此时我们尝试从日志写入shell 我们查看一下日志

show variables like '%general%';    // 通用查询日志  记录一般查询语句

general_log和general_log_file简述:

mysql打开general_log开关之后 所有对数据库的操作都将记录在general_log_file指定的文件目录中 以原始的状态来显示 如果将general_log开关打开 general_log_file指定一个php文件 则查询的操作将会全部写入到general_log_file指定的文件 可以通过访问general_log_file指定的文件来获取webshell

此时我们使用  set global general_log = 'ON'开启日志

然后指定日志写入到网站根目录的 1.php 文件

然后写入一句话木马

这时我们在访问1.php

2、蚁剑联动cs

打开cs 写上我们kali的IP和我们在cs服务端写的密码

创建一个监听器

创建 windows 可执行 exe 程序

        攻击—生成后门—Windows可执行文件

监听器选择我们刚才创建的'lizhi'

然后上传我们的后门 完成后启动后门

四、内网渗透

1.回连间隔改为0(仅限靶场 实战不要改成0    ^_^)

2、关闭防火墙

养成一上线就关闭防火墙的好习惯呀!

shell netsh advfirewall set allprofiles state off    //关闭防火墙

3、权限提升

监听器还是选择和刚才一样的'lizhi'

记得把system的回连也改成0

五、内网信息收集 

通用信息收集

shell ipconfig                                                //查看网络信息

shell net user                                               //查看本地用户

shell net view                                               //列举计算机名

shell net config Workstation                        //查看当前计算机名、域、登录域等

shell net view /domain                                //查看有几个域

1、查看网络适配器 

2、查看本地用户

3、查看计算机名

4、判断是否存在域

5、查看有几个域

发现只有一个GOD域

6、端口扫描

7、使用Mimikatz抓取明文密码

六、内网横向

1、创建SMB监听器

SMB(Server Message Block)协议是一种网络文件共享协议,它允许用户在网络上的计算机之间访问文件和打印机等资源。

 

2、切换攻击目标 如何右键选择横向移动(jump)——>psexec

监听器选择我们刚刚创建的SMB监听器,对端连接的隧道选择system权限的

3、横向成功 记得关闭防火墙

七、权限维持(黄金票据)

黄金票据是指能够绕过认证授权(AAA)机制并获得所需权限的票据。这种票据可以被攻击者收集和利用,从而从系统内部获取高权限,甚至完全控制系统。

1. 抓取 Hash 还有明文密码 

把SID、域名、复制下来  黄金票据要用

 2.配置黄金票据

用户名随便填 填写刚才的域名 和SID  hash已经帮你自动抓取了直接选就行

八、痕迹清除

大家都知道的 在渗透过程中清理自己的痕迹是非常非常重要的 不然那些"混街区的"很轻易就可以来ganggang你 M3?

所以指令放在这里了 

shell wevtutil cl security    //清理安全日志
shell wevtutil cl system        //清理系统日志
shell wevtutil cl application        //清理应用程序日志
shell wevtutil cl "windows powershell"    //清除power shell日志
shell wevtutil cl Setup     //清除日志中的 "Setup" 事件。

 

在Win2008上查看

至此 此次内网渗透结束。~!^_^!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1974202.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

IM即时通讯客服聊天系统源码(某站售8千)

即时通讯客服聊天系统已经成为企业提供卓越客户服务的不可或缺的工具。为了帮助您快速搭建强大的客服聊天系统&#xff0c;提供了一款全面的源码模板&#xff0c;基于Java和Spring Boot微服务架构构建&#xff0c;支持多种功能模块&#xff0c;以及消息加密、红包、消息撤回等功…

基于JSP的学生综合考评管理系统

你好&#xff0c;我是专注于教育信息化的开发者&#xff0c;很高兴为您介绍本系统。 开发语言&#xff1a;Java 数据库&#xff1a;MySQL 技术&#xff1a;JSPJava 工具&#xff1a;Eclipse、MySQL数据库管理工具 系统展示 首页 管理员功能 教师功能 学生功能 摘要 本文…

笔记本怎么手动设置ip地址:一步步教你操作

在使用笔记本电脑连接网络时&#xff0c;有时候我们需要手动设置IP地址以满足特定的网络需求或解决网络问题。手动设置IP地址可以帮助我们更好地控制网络连接&#xff0c;确保设备在网络中的稳定性和安全性。然而&#xff0c;对于不熟悉网络设置的用户来说&#xff0c;手动设置…

EPLAN EDZ 文件太大导入很慢如何解决?

目前各个品牌都在提供 EPLAN EDZ部件库文件,但是一般都是一个总的EDZ文件,导入过程中,因为电脑配置和其他问题,导致导入过程中EPLAN会崩溃或者长时间不动。 我们分析下EDZ文件的构成,这是个压缩文件,换了个壳而已。用压缩软件把edz打开,这里不是解压,直接右键,用解压…

[CP_AUTOSAR]_系统服务_DEM模块(二)功能规范介绍

目录 1、DEM 功能规范描述1.1、Startup behavior1.2、Monitor re-initialization 在前面 《[CP_AUTOSAR]_系统服务_DEM模块&#xff08;一&#xff09;》文中&#xff0c;简要介绍了 DEM 模块的功能、与其它模块之间的功能交互&#xff0c;本文将接着介绍 DEM 模块的功能规范。…

Web前端:Vue开发环境搭建

一、搭建开发环境&#xff1a; 1.nodejs安装&#xff1a; 下载地址&#xff1a; https://nodejs.org/dist/v20.13.1/node-v20.13.1-x64.msi 查看版本号&#xff1a; node -v 2.安装nrm(用于指定国内镜像源&#xff0c;加速依赖包下载速度)&#xff1a; 安装nrm&#xff…

程序员的魔法石!

本文由 ChatMoney团队出品 AI自己写代码&#xff0c;这只是传说&#xff1f;还是摸鱼新指南&#xff1f; AI出现之前&#xff0c;从来都是老板或产品经理提需求&#xff0c;程序员熬夜加班吭哧吭哧写代码或者是从Github&#xff0c;Stackoverflow上controlc&#xff0c;control…

为面试准备的一些内容

开发中使用了什么技术&#xff1f; mvvm、compose、livedata、单例模式、工厂模式、弱引用、线程池、Handler。 对于项目一开始我们打算使用aosp原生的管控方式&#xff0c;如UsageStatManager获取每个app的使用时长&#xff0c;和使用PackageManager的setPackagesSuspended方…

【数据结构入门 】栈

目录 前言 一、栈的概念及结构 二、栈的实现 1. 栈的声明 2.初始化栈 3. 栈的销毁 4.判断是否为空栈 5.入栈&#xff08;只能插入栈顶元素&#xff09; 6. 出栈&#xff08;只能从栈顶删除&#xff09; 7.栈的大小 8.获取栈顶元素 总结 前言 在计算机科学中&#xf…

黑马Java零基础视频教程精华部分_10_面向对象进阶(2)

系列文章目录 文章目录 系列文章目录一、多态1、什么是多态&#xff1f;2、多态的表现形式3、多态的前提4、多态的好处5、多态调用成员的特点6、多态的优势和弊端7、引用数据类型的类型转换 二、包1、什么是包&#xff1f;2、包名的规则3、使用其他类的规则 三、final 最终的&a…

文件包含漏洞Tomato靶机渗透_详解

一、导入靶机 将下载好的靶机拖入到VMware中&#xff0c;填写靶机机名称(随便起一个)和路径 虚拟机设置里修改网络状态为NAT模式 二、信息收集 1、主机发现 用御剑扫描工具扫描虚拟机的NAT网段&#xff0c;发现靶机的IP是192.168.204.141 2、端口扫描 用御剑端口扫描扫描全…

完全免费的 TTS 文字转语音来了!

作者&#xff1a;老余捞鱼 原创不易&#xff0c;转载请标明出处及原作者。 完全免费的 TTS 文字转语音来了&#xff01; 再也不用被国内外各种语音合成割韭菜了。 试了下&#xff0c;确实是不限次数&#xff0c;不限语种&#xff0c;完全免费.输出视频如下&#xff1a; 效果就…

springboot干部考核系统-计算机毕业设计源码74229

摘要 随着我国社会经济的快速发展&#xff0c;对干部队伍的素质要求越来越高&#xff0c;如何科学、公正、准确地评价干部的工作绩效&#xff0c;激励干部发挥出更大的工作潜能&#xff0c;成为了当务之急。近年来&#xff0c;计算机技术和网络技术的飞速发展&#xff0c;为干部…

Minetest大师:1.0.21版本发布

下载Minetest大师v1.0.21 1、简介 Minetest大师&#xff0c;一款致力于Minetest的游戏盒子 可加Q群-&#xff1a;123117246&#xff0c;了解或获取最新版本 2、增加了大量的基础功能 资源中心与ContentDB同步&#xff0c;增加资源搜索、安装功能 增加在线服务器列表&#…

Python 爬虫入门(五):使用 lxml 解析网页

Python 爬虫入门&#xff08;五&#xff09;&#xff1a;使用 lxml 解析网页 前言1. lxml 简介1.1 什么是 lxml&#xff1f;1.2 为什么选择 lxml&#xff1f;1.3 安装 lxml 2. lxml 基础2.1 解析 HTML/XML2.2 XPath 表达式2.3 使用 XPath 提取数据 3. 深入解析3.1 处理命名空间…

HarmonyOS应用开发者高级认证题目(7月新版,答案解析,持续更新)

HarmonyOS应用开发者高级认证题目&#xff08;7月新版&#xff0c;答案&解析&#xff0c;持续更新&#xff09; 单选 1.ArkTS支持以下哪些函数 A.Object.getOwnPropertySymbols(); B.Object.isExtensible(); C.Object.isPrototypeOf(); D.Object.keys(); 答案&#xff1…

《数据结构》(C语言版)第1章 绪论(下)

第1章 绪论 1.3 抽象数据类型的表示与实现1.4 算法与算法分析 1.3 抽象数据类型的表示与实现 数据类型 数据类型是一组性质相同的值的集合, 以及定义于这个集合上的一组运算的总称。 抽象数据类型(ADTs: Abstract Data Types) 更高层次的数据抽象。由用户定义&#xff0c;用…

反贿赂体系认证:企业诚信经营的护航者

在当今商业环境中&#xff0c;企业不仅要追求经济效益&#xff0c;更要坚守诚信经营的原则。反贿赂体系认证作为现代企业合规管理的重要手段&#xff0c;不仅提升了企业的道德形象&#xff0c;还为其市场竞争力注入了强劲动力。以下是反贿赂体系认证对企业的多方面益处。 首先&…

SpringBoot集成RocketMQ消息队列

RocketMQ简介 RocketMQ是阿里巴巴2016年MQ中间件&#xff0c;使用Java语言开发&#xff0c;RocketMQ 是一款开源的分布式消息系统&#xff0c;基于高可用分布式集群技术&#xff0c;提供低延时的、高可靠的消息发布与订阅服务。同时&#xff0c;广泛应用于多个领域&#xff0c…

AUTOSAR实战教程-最通俗的讲标定协议XCP初入门

XCP是什么 XCP是什么?我们开发过程中是不是经常用串口打印出一些变量的值供自己发现问题? XCP的作用1 跟上述串口看数据类似,只不过用一组更为严格的格式规定基于CAN/ETH/FLR进行数据的观测。 XCP作用2 比串口打印数据更强大的是,XCP可以通过变量地址对变量值进行改写!…