ATT&CK红队评估(红日靶场5)

随笔1个月前发布 悦的后青春
22 0 0

靶机介绍

  此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习,此靶场主要用来学习,请大家遵守网络网络安全法。

  ‍

  ‍

  注意Win7双网卡模拟内外网

  ‍

环境搭建

  使用VMent2 作为内网,NAT作为外网网段

ATT&CK红队评估(红日靶场5)

  ‍

win7

账密及域

leo@sun.com 123.com
sunAdministrator dc123.com

双网卡模拟内网网

内网网卡:192.168.138.136
外网网卡:192.168.111.150

  因为我不想改net网段了,所以就把win7的ip改过来了:​ATT&CK红队评估(红日靶场5)

  测试 DC和kali均能ping通:

ATT&CK红队评估(红日靶场5)

  启动phpstudy,如果提示要登录,那就切换另一个账号登录:​ATT&CK红队评估(红日靶场5)

win2008

账号:sunadmin
密码:2020.com
更改之后密码:2024.com

内网ip:192.168.138.138

ATT&CK红队评估(红日靶场5)

拓扑图

ATT&CK红队评估(红日靶场5)

  ‍

  Windows 7:

Web服务器(使用的是PHPStudy,记得自己手动开一下)
模拟外网IP:192.168.111.150
内网IP:192.168.138.136

  Windows Server 2008:

域控制器
内网IP:192.168.138.138

  攻击者VPS:

OS:Kali Linux
IP:192.168.111.129

  ‍

web打点

信息收集

  端口扫描:

nmap -sV -Pn 192.168.111.150 

ATT&CK红队评估(红日靶场5)

  开放端口:80端口,135端口,3306端口

  ‍

ThinkPHP 5.23 RCE

  访问80端口,是一个thinkphp网站,还是V5.0版本的:

ATT&CK红队评估(红日靶场5)

  上thinkphp漏洞工具,检测到挺多漏洞的:

ATT&CK红队评估(红日靶场5)

  使用TinkPHP 5.0.22/5.1.29 RCE 漏洞,来命令执行:

ATT&CK红队评估(红日靶场5)

  查看一下进程,没有发下杀软,那么可以直接上马

ATT&CK红队评估(红日靶场5)

  执行ipconfig发现还有一个网段,应该是存在内网的:

ATT&CK红队评估(红日靶场5)

  点击右边的GETSHELL:

ATT&CK红队评估(红日靶场5)

  文件写入成功,尝试蚁剑连接:

ATT&CK红队评估(红日靶场5)

  成功拿下shell

ATT&CK红队评估(红日靶场5)

  CS上线:

  通过蚁剑,上传cs木马,执行:

ATT&CK红队评估(红日靶场5)

  提权:

  使用ms14-058成功提权:

ATT&CK红队评估(红日靶场5)

ATT&CK红队评估(红日靶场5)

  ‍

内网渗透

信息收集

  查看是否存在域:

net config Workstation

ATT&CK红队评估(红日靶场5)

  没得说,肯定是存在域的:sun

  ‍

  端口扫描:

ATT&CK红队评估(红日靶场5)

  ‍

ATT&CK红队评估(红日靶场5)

  发现了另一台主机:DC:192.168.138.138​ ,

  该主机,开放端口有 88、53、135、139、445

  查看域控:

net group "domain admins" /domain

ATT&CK红队评估(红日靶场5)

  ‍

  抓取明文密码:

  CS中输入logonpasswords 或者右键点击抓取明文密码:

ATT&CK红队评估(红日靶场5)

ATT&CK红队评估(红日靶场5)

  抓取密码如下:

ATT&CK红队评估(红日靶场5)

  ‍

  ​​

  ‍

  ‍

横向移动

  ‍

psexec横向

  之前端口扫描出,发现域控的445端口开放,而且也抓取到相关密码,可以试一下psexec横向

  创建smb监听器

ATT&CK红队评估(红日靶场5)

  选中目标右键—psexec:

ATT&CK红队评估(红日靶场5)

  填写相关信息:

ATT&CK红队评估(红日靶场5)

  成功拿下域控:

ATT&CK红队评估(红日靶场5)

  至此2台机器已经全部拿下:

ATT&CK红队评估(红日靶场5)

权限维持

黄金票据

  从DC中hashdump​出krbtgt​的hash值,krbtgt​用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户

ATT&CK红队评估(红日靶场5)

krbtgt:502:aad3b435b51404eeaad3b435b51404ee:65dc23a67f31503698981f2665f9d858:::

  ​在DC查看域的sid​:

ATT&CK红队评估(红日靶场5)

S-1-5-21-3388020223-1982701712-4030140183-1000

  右键-黄金票据:

ATT&CK红队评估(红日靶场5)

  填好内容,生成成功:

ATT&CK红队评估(红日靶场5)

  ‍

添加域控账号

  执行以下命令生成域用户

shell net user hack 123qwe!@# /add /domain
shell net user /domain
shell net group "Domain Admins" hack /add /domain

  ‍

痕迹清理

  ‍

  使用wevtutil进行清除

wevtutil cl security	//清理安全日志
wevtutil cl system		//清理系统日志
wevtutil cl application		//清理应用程序日志
wevtutil cl "windows powershell"	//清除power shell日志
wevtutil cl Setup

  ‍

总结

内网横向的方法很多,可以使用ipc或者vmi等等。
权限维持这块,有人使用 创建 DSRM 后门的方式,也是可以的。
也可以开启3389远程桌面,可以看我之前的文章,这里我就懒得做了。
方法很多的,因为这个靶场还是较为简单的,只有2台机器,所以做的比较简单。

  ‍

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...