白袍的小行星

红日安全靶场--红队实战(一)

字数统计: 660阅读时长: 2 min
2020/03/24 Share

下载了红日的靶场搞一搞,搭建之类的就不说了,直接从入口走起。

拿下Webshell

访问Web服务器对应的地址,发现直接出了phpstudy的探针==

好吧,访问/yxcms这个目录,进去后发现是1.2.1版本的:

在扫描根目录的时候,发现有一个名为beifen.rar的文件,下载后打开,在里面找到了后台的密码:

登录后使用模板添加功能,写一句话进去,但是写在了很深的⁨protected/apps⁩/⁨default/⁨view/default/目录,直接访问是不行的。

因为它添加模板的地方长这个样子:

我就试了一下目录穿越,发现../../../../../shell.php这种就可以写到根目录了,连!

提权

看了一下还是administrator权限,直接CS上线。

先搞一个http的Listeners,再使用蚁剑的终端功能执行powershell命令,上线成功。

执行一个sleep 0,不要磨磨蹭蹭的啊阿姨,快一点啊阿姨

因为cs 4.0里移除了ms14-058getsystem,所以自己下了个插件:elevate.cna

使用前者拿到system:

elevate ms14-058 http # http即Listeners的名字

横向移动

看一下网络信息,发现有两个网段:

分别是外网(172.16.178.0/24)和内网(192.168.52.0/24).

可能有域环境啊(废话),再收集一下信息:

net time /domain # 返回时间和域名
net user /domain # 返回域用户列表

注意必须要SYSTEM才能执行:

OK,下面当然是抓密码了,猕猴桃一把梭:

抓到的东西可以在View -> Credentials里以列表的方式查看。

下面就面对一个问题,我们没法直接访问到内网环境,所以就需要穿透或者转发。

我这里用的是cs派生一个SMB Beacon,让内网的机器连接到这台跳板机,最后进行攻击。

这里可以看404的项目:Cobalt Strike wiki

完事之后就可以使用psexec来进行横向移动,选定相应的Target然后右键选择jump -> psexec,填好信息就可以直接运行:

最后的成品:

另几种解法

如果不使用psexec,还可以直接偷一手令牌,然后用wmi的方式进行横向,但是4.0已经删掉了,就不搞了。

还可以直接用ms17-010打下来,我怕蓝屏所以也不搞了。

总结

其实这次靶场很简单,考察的也是基础,没有遇到防护软件之类的,所以写的很简略,不过也学到了很多东西,有时间细细写一下原理和踩到的坑吧。

CATALOG
  1. 1. 拿下Webshell
  2. 2. 提权
  3. 3. 横向移动
  4. 4. 另几种解法
  5. 5. 总结