渗透攻击红队 redTeam -3 writeup

这是一篇不一样的write up

靶场网络拓扑：

1.扫描内网发现存在80和3306端口:

​

​

2.发现192.168.1.114，访问80端口：

​

​

​3.用xray扫描，发现有phpmyadmin：

​

4.经过测试发现phpmyadmin存在弱口令：root/root

​

​

5.尝试利用phpmyadmin 日志写shell，先查看绝对路径：

 select @@datadir
C:\phpStudy\PHPTutorial\MySQL\data\

6.设置日志路径：

7.写shell：

​8.直接访问，system权限：

本地信息收集：

无杀软

​

10.直接上线cs：

​

11.存在双网卡：

ipconfig

12.域名:root.redteam.lab

​systeminfo

​13.导出密码：

beacon> hashdump​

14.解密administrator账户密码：

​15.尝试开启rdp服务:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f​

​16.成功登录192.168.1.114管理员桌面：

​17.再上线管理员权限的beacon会话：

18.发现当前内网有两台机器：

19.利用pth（administrator权限）横向10.0.1.8失败：

20.拿到子域的时候应该要明白这是个子域，直接ping域名：

子域名：root.redteam.lab
父域名：redteam.lab

​21.对10.0.0段进行扫描：

22.在现有的192.168.1.114上尝试对10.0.0.8进行pth（administrator权限）横向成功，当然也可以用impacket工具包里的psexec：

​23.上cs，前期已经建立ipc链接，可以使用unc路径上传木马：

24.使用wmic执行命令发现不出网：

​25.使用smb beacon:​

26.传马，上线：

link 目标ip

​

27.本地信息收集：

28.发现当前账户为域管：

net group "domain admins" /domain

​

29.拿到域管权限可以使用dcsync导出所有账户hash：

30.解密：

​

31.开启域控3389：

​

32.本机查看域结构的时候发现这个机器：

​

33.尝试ping：

​

34.成功横向至10.0.0.7：

35.开启3389：

​

36.成功：

​37.桌面有个邮件，点开：

​38.成功：

​