红日靶场二打靶

想写关于红日靶场很久了，今天我就来写写关于此靶场的打靶经验，用于分享，仅供参考。
首先关于靶场的下载：下载链接
其次就是关于网络拓扑，本想用ensp小小的画上一手，但是发现不太美观，随便找的别人的只能

密码链接上写的很详细，其次就是靶机配置，PC以及WEB服务器均为两张网卡，并且一张网卡为NAT地址，另一张为主机模式
注意主机模式需要分配一个网段：10.10.10.0/24，因为这个是出靶场的人配置好的，所以需要在虚拟网络里头添加此网段，至此开始渗透。
注意WEB机子首先需要管理员打开WebLOGC服务器

以上是此目录
打开服务后，就可以开始渗透了
首先主机发现：

发现两个可疑网段，需要对此两个网段分别进行端口扫描


第一张图片有可利用的点，比如Weblogic反序列化的漏洞可以尝试一波，直接掏出工具

这个发现存在漏洞，直接用工具进行注入内存马，然后蚁剑链接，还有一种方式就是冰蝎，个人感觉不好用，这两者有不同的
特征值，正好写道这里了，我说说webshell的流量特征。
蚁剑：1.可以对流量进⾏加密、混淆。但是有些关键代码没有被加密例如php ini_set、set_time_limitasp OnError ResumeNext，response
2.蚁剑混淆加密后还有⼀个⽐较明显的特征，即为参数名⼤多以“_0x…=”这种形式
3.每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且存在base64等字符响应包的结果返回格式为 随机数 结果 随机数
冰蝎：1. content-type2. Accept&Cache-Control3. 内置16个ua头4. content-length请求⻓度
菜⼑：1.2014 伪造UA头 2.函数分割 base加密
哥斯拉：1.php请求都含有"pass="第⼀个包jsp 2.含有"pass="⽽且发起连接时服务器返回的Content-Length是0
说完特征后直接就可以注入木马了，我这里使用我自己的工具注入内存马：

注入完成木马后，就有必要进行连接蚁剑了，使用CS或者MSF上线。
我现列举一种CS，后续列举MSF

注意，WEB机子开着360，需要搞一个免杀

发现存在此漏洞，直接开启msf搜索此漏洞


总算拿下，开启后渗透过程，使用我们的CS4，令其上线
使用MSF派生CS命令如下：


至此我们的CS就上线了。
使用命令查看是否含有内网

发现存在10.10.10.0/24的网段

之后通过net命令查看所有域内主机

使用mimikatz抓取明文密码
portscan 10.10.10.0/24扫描一下内网开放的端口


开放了445端口，可以尝试一波永恒之蓝

首先其他主机进行上线


我这里也是成功上线啊
之后进行横向穿透令DC上线



主要要选择管理员

我这里成功通过SMB协议拿到DC机
权限维持：
制作黄金与白银票据：

首先抓取krbtgt票据的密码
使用logonpasswords查看sid
如图直接抓取也行




失误了说明Krbtgt有问题啊
我重新注入一下

这个黄金票据成功给注入到这个PC机里头了，到时候可以根据这个账户直接拿到SYSTEM权限

但是我发现使用WEB查看DC的共享C盘文件夹发现访问不了，服了
尝试使用MSF使用票据

migrate 1692 #迁移进程
将64位进程迁移走，避免影响mimikatz运行
使用mimikatz，提升提权，查看密码
privilege::debug sekurlsa::logonpasswords
chcp 65001 去除乱码

一定要赋予管理员权限

版本问题，问题不大，一会换个版本即可
上传永恒之蓝漏洞脚本准备利用打进内网

使用这个进行生成票据
MS14-068.exe -u administrator@delay.com -s S-1-5-21-2756371121-2868759905-3853650604-500 -d 10.10.10.10 -p Aa123456
哎，报错了


于是我又看了看用法：

有报错了，是这个方法，不知道为啥不对啊
MS14-068.exe -u administrator@delay.com -p Aa123456 -s S-1-5-21-2756371121-2868759905-3853650604-500 -d 10.10.10.10
之后清除票据，添加自己的票据

成功访问到域控文件夹

ps：这里我找了一个跟我相似的哈，看了另外一个师傅的
后续可以通过上传木马到web服务器，再通过web服务器上传木马到dc，使用计划任务执行木马
至此，此次靶场就应该结束了，还有一个mimikatz维持权限：
mimikatz进行维权